PT-2024-10221 · Document Foundation+5 · Libreoffice+5
Thomas Rinsma
·
Publicado
2024-12-10
·
Atualizado
2025-06-11
·
CVE-2024-12426
CVSS v4.0
6.7
Média
| Vetor | AV:L/AC:L/AT:N/PR:L/UI:P/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões 24.8 a 24.8.3 do LibreOffice
Descrição
O problema está relacionado à proteção insuficiente de dados internos no LibreOffice, permitindo que um agente não autorizado possa divulgar informações confidenciais. Especificamente, URLs poderiam ser criados para expandir variáveis de ambiente ou valores de arquivos INI, levando à exfiltração de informações potencialmente confidenciais para um servidor remoto ao abrir um documento contendo tais links.
Recomendações
Para as versões 24.8 a 24.8.3 do LibreOffice, atualize para a versão 24.8.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de URLs que possam expandir variáveis de ambiente ou valores de arquivos INI em documentos até que um patch seja aplicado. Evite usar links que possam potencialmente divulgar informações confidenciais em documentos até que o problema seja resolvido.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Libreoffice
Linuxmint
Red Os
Ubuntu