Vulnerabilidad en Collabora Online (CVE-2024-25114)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
11/03/2024
Última modificación:
26/02/2025
Descripción
Collabora Online es una suite ofimática colaborativa en línea basada en la tecnología LibreOffice. Cada documento en Collabora Online se abre mediante una instancia de "Kit" separada en una "cárcel" diferente con un nombre de directorio único "jailID". Por razones de seguridad, este nombre de directorio se genera aleatoriamente y no debe entregarse al cliente. En las versiones afectadas de Collabora Online es posible utilizar la función CELL(), con el argumento "nombre de archivo", en el componente de hoja de cálculo para obtener una ruta que incluya este JailID. El impacto de esta vulnerabilidad por sí sola es bajo porque requiere ser encadenada con otra vulnerabilidad. Los usuarios deben actualizar a Collabora Online 23.05.9; Colabora en línea 22.05.22; Collabora Online 21.11.10 o superior. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
2.60
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:collabora:online:*:*:*:*:*:*:*:* | 21.11.9.4 (excluyendo) | |
| cpe:2.3:a:collabora:online:*:*:*:*:*:*:*:* | 22.05.0 (incluyendo) | 22.05.22 (excluyendo) |
| cpe:2.3:a:collabora:online:*:*:*:*:*:*:*:* | 23.05.0 (incluyendo) | 23.05.9 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página