Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en LibreOffice (CVE-2024-5261)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
25/06/2024
Última modificación:
23/12/2025

Descripción

Vulnerabilidad de validación de certificado incorrecta en el modo "LibreOfficeKit" de LibreOffice deshabilita la verificación de certificación TLS. LibreOfficeKit se puede utilizar para acceder a la funcionalidad de LibreOffice a través de C/C++. Normalmente, esto lo utilizan componentes de terceros para reutilizar LibreOffice como librería para convertir, ver o interactuar con documentos. LibreOffice utiliza internamente "curl" para recuperar recursos remotos, como imágenes alojadas en servidores web. En las versiones afectadas de LibreOffice, cuando se usaba solo en modo LibreOfficeKit, la verificación de certificación TLS de curl estaba deshabilitada (CURLOPT_SSL_VERIFYPEER de falso). En las versiones fijas, curl opera en modo LibreOfficeKit de la misma manera que en el modo estándar con CURLOPT_SSL_VERIFYPEER de verdadero. Este problema afecta a LibreOffice antes de la versión 24.2.4.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 10.00 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0
10.00
Gravedad 4.0
CRÍTICA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:libreoffice:libreoffice:*:*:*:*:*:*:*:* 24.2.4 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información