PT-2022-3942 · Document Foundation+9 · Libreoffice+9

Publicado

2022-03-22

·

Atualizado

2024-06-15

·

CVE-2022-26305

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do LibreOffice anteriores à 7.2.7
Versões do LibreOffice anteriores à 7.3.1
Descrição
O problema está relacionado a uma vulnerabilidade de validação inadequada de certificados, na qual o LibreOffice apenas compara o número de série e a string do emissor do certificado utilizado com os de um certificado confiável para determinar se uma macro foi assinada por um autor confiável. Isso não é suficiente para verificar se a macro foi realmente assinada com o certificado. Um invasor poderia criar um certificado arbitrário com um número de série e uma string de emissor idênticos aos de um certificado confiável, que o LibreOffice apresentaria como pertencente ao autor confiável, levando potencialmente o usuário a executar código arbitrário contido em macros indevidamente confiáveis.
Recomendações
Para versões do LibreOffice anteriores à 7.2.7, atualize para a versão 7.2.7 ou posterior.
Para versões do LibreOffice anteriores à 7.3.1, atualize para a versão 7.3.1 ou posterior.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

ALSA-2023:0089
ALSA-2023:0304
ALT-PU-2022-1541
ALT-PU-2022-1591
ALT-PU-2022-1954
ALT-PU-2022-1986
ALT-PU-2022-2498
ALT-PU-2022-2551
BDU:2022-04771
CESA-2023_0089
CVE-2022-26305
DLA-3368-1
OPENSUSE-SU-2022_3650-1
OPENSUSE-SU-2024:12452-1
RHSA-2023:0089
RHSA-2023:0304
RHSA-2023_0089
RHSA-2023_0304
RLSA-2023:0089
RLSA-2023:0304
SUSE-SU-2022:3602-1
SUSE-SU-2022:3650-1
SUSE-SU-2022_3602-1
SUSE-SU-2022_3650-1
USN-5661-1
USN-5694-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Libreoffice
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu