[ON] Уязвимость в LibreOffice, позволяющая выполнить скрипт через подстановку ссылки в документ

[rssbot]

Раскрыта информация об уязвимости (CVE-2025-1080), позволяющей добиться выполнения произвольного скрипта без вывода предупреждения пользователю при переходе по специально подготовленной ссылке в документе или при срабатывании определённого события во время работы с документом. Проблеме присвоен высокий уровень опасности (7.2 из 10). Уязвимость устранена в недавних обновлениях LibreOffice 24.8.5 и 25.2.1.


Уязвимость вызвана возможностью обращения к специфичной для LibreOffice URI-схеме вызова макросов 'vnd.libreoffice.command:' в реализации URI-схем для интеграции с сервером MS SharePoint. Атакующий может воспользоваться подобными URI для создания встроенных ссылок, которые при обработке в LibreOffice могут вызывать любые внутренние макросы с произвольными аргументами.













Источник: https://www.opennet.ru/opennews/art.shtml?num=62836
(opennet.ru, мини-новости)