PT-2022-5029 · Document Foundation+9 · Libreoffice+9

Publicado

2022-09-15

·

Atualizado

2024-06-15

·

CVE-2022-3140

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões 7.3.0 a 7.3.5 do LibreOffice
Versão 7.4.0 do LibreOffice
Descrição
O problema está relacionado à implementação do esquema ‘vnd.libreoffice.command’ no LibreOffice, que permite a execução de macros internas com argumentos arbitrários. Isso pode resultar na execução arbitrária de scripts sem aviso prévio quando um link que utilize esse esquema é clicado ou ativado por eventos do documento.
Recomendações
Para as versões 7.3.0 a 7.3.5 do LibreOffice, atualize para a versão 7.3.6 para resolver o problema.
Para a versão 7.4.0 do LibreOffice, atualize para a versão 7.4.1 para resolver o problema.
Como solução alternativa temporária, considere desativar o uso do esquema ‘vnd.libreoffice.command’ para minimizar o risco de exploração.

Correção

Argument Injection

RCE

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-88CWE-20CWE-77

Identificadores relacionados

ALSA-2023:0089
ALSA-2023:0304
ALT-PU-2022-2618
ALT-PU-2022-2695
ALT-PU-2022-2841
ALT-PU-2022-2956
ALT-PU-2022-3174
ALT-PU-2023-1241
BDU:2022-06246
CESA-2023_0089
CVE-2022-3140
DLA-3368-1
DSA-5252-1
MGASA-2022-0400
OPENSUSE-SU-2022_3650-1
OPENSUSE-SU-2024:12452-1
RHSA-2023:0089
RHSA-2023:0304
RHSA-2023_0089
RHSA-2023_0304
RLSA-2023:0089
RLSA-2023:0304
SUSE-SU-2022:3602-1
SUSE-SU-2022:3650-1
USN-5694-1
ZDI-22-1456

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Libreoffice
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu