PT-2020-3349 · Document Foundation+6 · Libreoffice+6

Publicado

2020-06-08

·

Atualizado

2024-06-15

·

CVE-2020-12802

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do LibreOffice anteriores à 6.4.4
Descrição
O problema está relacionado a uma falha no “modo furtivo” do LibreOffice, que permite que apenas documentos provenientes de locais confiáveis recuperem recursos remotos. Esse modo não vem ativado por padrão, mas pode ser ativado pelos usuários para impedir a inclusão de recursos remotos em um documento. A falha diz respeito especificamente a links gráficos remotos carregados a partir de documentos docx, que não estavam protegidos antes da versão 6.4.4. Isso poderia permitir que um invasor remoto acessasse dados confidenciais devido à falta de proteção dos dados internos.
Recomendações
Para versões anteriores à 6.4.4, atualize para a versão 6.4.4 ou posterior para resolver o problema. Como solução temporária, considere desativar o carregamento de links gráficos remotos de documentos docx até que a atualização seja aplicada. Restrinja o acesso a documentos e locais confidenciais para minimizar o risco de exploração.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200

Identificadores relacionados

ALSA-2020:4628
ALT-PU-2020-2512
ALT-PU-2020-2609
ALT-PU-2020-2699
ALT-PU-2020-3097
BDU:2020-03672
CESA-2020_4628
CVE-2020-12802
DLA-3703-1
OPENSUSE-SU-2020:1222-1
OPENSUSE-SU-2020:1261-1
OPENSUSE-SU-2020_1222-1
OPENSUSE-SU-2020_1261-1
OPENSUSE-SU-2024:10983-1
RHSA-2020:4628
RHSA-2020_4628
RLSA-2020:4628
SUSE-SU-2020:2217-1
SUSE-SU-2020:2235-1
SUSE-SU-2020:2283-1
SUSE-SU-2020_2283-1

Produtos afetados

Alt Linux
Almalinux
Centos
Libreoffice
Red Hat
Rocky Linux
Suse