Vulnerabilidad en LibreOffice (CVE-2022-3140)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/10/2022
Última modificación:
27/03/2023
Descripción
LibreOffice es compatible con los esquemas URI de Office para permitir la integración del navegador de LibreOffice con el servidor de MS SharePoint. Ha sido añadido un esquema adicional "vnd.libreoffice.command" específico para LibreOffice. En versiones afectadas de LibreOffice los enlaces que usaban ese esquema podían construirse para llamar a macros internas con argumentos arbitrarios. Lo cual, cuando hacía clic en ellos, o eran activados mediante eventos del documento, podía resultar en una ejecución de scripts arbitrarios sin previo aviso. Este problema afecta a: Las versiones de LibreOffice 7.4 de Document Foundation anteriores a 7.4.1; versiones 7.3 anteriores a 7.3.6
Impacto
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:libreoffice:libreoffice:*:*:*:*:*:*:*:* | 7.3.0 (incluyendo) | 7.3.6 (excluyendo) |
| cpe:2.3:a:libreoffice:libreoffice:7.4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.debian.org/debian-lts-announce/2023/03/msg00022.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TORANVTIWWBH3DNJR4UZATAG67KZOH32/
- https://security.gentoo.org/glsa/202212-04
- https://www.debian.org/security/2022/dsa-5252
- https://www.libreoffice.org/about-us/security/advisories/CVE-2022-3140