Уязвимость в LibreOffice (CVE-2022-3140)

vulnerability vulnerability

В пакете LibreOffice выявлена уязвимость (CVE-2022-3140), позволяющая организовать выполнение произвольных скриптов при клике на специально подготовленную ссылку в документе или при срабатывании определённого события во время работы с документом.


LibreOffice поддерживает схемы URI Office для интеграции LibreOffice с сервером MS SharePoint. Была добавлена дополнительная схема 'vnd.libreoffice.command', специфичная для LibreOffice.

В затронутых версиях LibreOffice ссылки, использующие эту схему, могли быть созданы для вызова внутренних макросов с произвольными аргументами. При нажатии на них или активации событиями документа они могли привести к выполнению произвольного сценария без предупреждения.

В версиях >= 7.3.6 (и >= 7.4.1) такие нежелательные командные URI блокируются от выполнения.

SEC-1275-1
Добавить комментарий