Vulnérabilité dans LibreOffice
Date de publication :
CVE-2022-3140[Score CVSS v3.1:7.8]
Un défaut dans la fonction vnd.libreoffice.command permet à un attaquant, en persuadant sa victime d’ouvrir un fichier ou une page web spécifiquement forgé, d’appeler des macros internes avec des paramètres spécifiques afin d’exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Criticité
Score CVSS v3.1: 7.8
La faille est activement exploitée
Non.
Un correctif existe
Oui.
Une mesure de contournement existe
Non.
La vulnérabilité exploitée est du type
CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection')
Détails sur l’exploitation
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
LibreOffice 7.3 versions antérieures à 7.3.6
LibreOffice 7.4 versions antérieures à 7.4.1
Solutions ou recommandations
Mettre à jour LibreOffice vers les versions 7.3.6 ou 7.4.1 ou vers une version antérieure.
Plus d’informations disponibles ici.