PT-2024-31396 · Collabora · Collabora Online
Tehofu
·
Publicado
2024-08-29
·
Atualizado
2024-09-03
·
CVE-2024-45045
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Collabora Online para dispositivos móveis (Android/iOS)
Descrição
O Collabora Online é um pacote de escritório colaborativo online baseado na tecnologia LibreOffice. Nas versões para dispositivos móveis, era possível injetar JavaScript por meio de valores codificados em URL em links contidos nos documentos. Como a interface JavaScript do Android permite o acesso a funções internas, considera-se alta a probabilidade de o aplicativo ser comprometido. As versões não móveis não são afetadas.
Recomendações
Para as versões móveis, atualize para a versão mais recente disponível na loja de aplicativos da plataforma.
Como solução temporária, considere restringir o acesso a links contidos em documentos até que um patch esteja disponível.
Evite usar valores codificados em URL em links contidos em documentos até que o problema seja resolvido.
No momento, não há informações sobre medidas de mitigação adicionais.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Collabora Online