Vulnérabilité dans LibreOffice
Date de publication :
CVE-2022-3140[Score CVSS v3.1:7.8]
Un défaut dans la fonction vnd.libreoffice.command permet à un attaquant, en persuadant sa victime d’ouvrir un fichier ou une page web spécifiquement forgé, d’appeler des macros internes avec des paramètres spécifiques afin d’exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 7.8
La faille est activement exploitée
- Non.
Un correctif existe
- Oui.
Une mesure de contournement existe
- Non.
La vulnérabilité exploitée est du type
CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection')
Détails sur l’exploitation
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
- LibreOffice 7.3 versions antérieures à 7.3.6
- LibreOffice 7.4 versions antérieures à 7.4.1
Solutions ou recommandations
Mettre à jour LibreOffice vers les versions 7.3.6 ou 7.4.1 ou vers une version antérieure.
Plus d’informations disponibles ici.