[TLP:CLEAR] LibreOffice opravuje 2 zranitelnosti
LibreOffice verzemi 24.8.5 a 25.2.1 opravuje 2 zranitelnosti [1][2].
Neautentizovanému lokálnímu útočníkovi je umožněno spustit odkazy směřující na spustitelné soubory Windows bez jakéhokoli omezení při jejich aktivaci kvůli nedostatečné validaci vstupu [1].
Zranitelnost se nachází v produktu LibreOffice ve verzích <24.8.5.
CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:H
Více informací:
- CVE-2025-0514 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 2. 2025.
Neautentizovanému lokálnímu útočníkovi je umožněno vytvořit odkaz v prohlížeči využívající schéma 'vnd.libreoffice.command', který obsahuje vnořenou URL. Při předání tohoto odkazu do LibreOffice může dojít k volání interních maker s libovolnými argumenty [2].
Zranitelnost se nachází v produktu LibreOffice ve verzích <24.8.5.
CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:H/A:H
Více informací:
- CVE-2025-1080 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 3. 2024.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 6. 3. 2025.
