Уязвимость в LibreOffice, позволяющая выполнить скрипт через подстановку ссылки в документ
Дата публикации:Thu, 06 Mar 2025 09:03:19 +0300
Раскрыта информация об уявзвимости (CVE-2025-1080), позволяющей добиться выполнения произвольного скрипта без вывода предупреждения пользователю при переходе по специально подготовленной ссылке в документе или при срабатывании определённого события во время работы с документом. Проблеме присвоен высокий уровень опасности (7.2 из 10). Уязвимость устранена в недавних обновлениях LibreOffice 24.8.5 и 25.2.1.
Уязвимость вызвана возможностью обращения к специфичной для LibreOffice URI-схеме вызова макросов 'vnd.libreoffice.command:' в реализации URI-схем для интеграции с сервером MS SharePoint. Атакующий может воспользоваться подобными URI для создания встроенных ссылок, которые при обработке в LibreOffice могут вызывать любые внутренние макросы с произвольными аргументами.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=62836