Vulnérabilité dans LibreOffice
Date de publication :
CVE-2021-25631 [Score CVSS v3 : 8.8]
LibreOffice dispose d'une fonctionnalité permettant d'activer les liens hypertextes dans un document par CTRL+clic. Sous Windows, le lien peut être transmis à la fonction ShellExecute du système pour être traité. LibreOffice contient une liste d'extensions qu'il empêche de passer à ShellExecute pour éviter de tenter de lancer des exécutables. La liste des dénominations peut être contournée en manipulant le lien de manière à ce qu'il ne corresponde pas à la liste des dénominations mais que ShellExecute tente de lancer un type d'exécutable. Cette faille peut être exploitée par un attaquant distant et non authentifié.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Exécution de code arbitraire
Criticité
-
Score CVSS v3 : 8.8
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les versions de LibreOffice suivantes sont impactées par cette vulnérabilité :
-
7.0.5
7.1.2
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour LibreOffice vers une des versions suivantes :
- 7.0.5
- 7.1.2
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.