Vulnerabilidad en LibreOffice (CVE-2022-26305)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-295 Validación incorrecta de certificados

Fecha de publicación:

25/07/2022

Última modificación:

26/03/2023

Descripción

Una vulnerabilidad de Comprobación Inapropiada de Certificados en LibreOffice en la que la determinación de si una macro estaba firmada por un autor confiable al comparar únicamente el número de serie y la cadena del emisor del certificado usado con los de un certificado confiable. Esto no es suficiente para verificar que la macro fue realmente firmada con el certificado. Por lo tanto, un adversario podría crear un certificado arbitrario con un número de serie y una cadena de emisor idénticos a los de un certificado confiable, que LibreOffice presentaría como pertenecientes al autor confiable, lo que podría conllevar que el usuario ejecutara código arbitrario contenido en macros no debidamente confiables. Este problema afecta a: The Document Foundation LibreOffice versiones 7.2 anteriores a 7.2.7; versiones 7.3 anteriores a 7.3.1

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:libreoffice:libreoffice::::::::	7.2.0 (incluyendo)	7.2.7 (excluyendo)
cpe:2.3:a:libreoffice:libreoffice::::::::	7.3.0 (incluyendo)	7.3.2 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en LibreOffice (CVE-2022-26305)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información