Vulnerabilidad en el flujo documentsignatures.xml o macrosignatures.xml en el documento en LibreOffice (CVE-2021-25633)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
11/10/2021
Última modificación:
18/10/2021
Descripción
LibreOffice soporta firmas digitales de documentos ODF y macros dentro de documentos, presentando ayudas visuales de que no se ha producido ninguna alteración del documento desde la última firma y que la firma es válida. Una vulnerabilidad de Comprobación Inapropiada de Certificados en LibreOffice permitía a un atacante crear un documento ODF firmado digitalmente, al manipular el flujo documentsignatures.xml o macrosignatures.xml dentro del documento para combinar múltiples datos de certificados, que cuando se abría causaba que LibreOffice mostrara un indicador firmado válidamente pero cuyo contenido no estaba relacionado con la firma mostrada. Este problema afecta a: versiones de LibreOffice 7-0 de The Document Foundation anteriores a la 7.0.6; versiones 7-1 anteriores a 7.1.2
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:libreoffice:libreoffice:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.0.6 (excluyendo) |
| cpe:2.3:a:libreoffice:libreoffice:*:*:*:*:*:*:*:* | 7.1.0 (incluyendo) | 7.1.2 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página