2023年1月3日,网上公开披露了一个标注为代码注入的Apache OpenOffice<4.1.15 任意宏脚本执行漏洞(CVE-2023-47804),Apache OpenOffice是开源的Office套件,请各位用户尽快安装漏洞补丁。
漏洞风险: OpenOffice文档中可以包含用于调用具有任意参数的内部宏链接。基于此目的其实现了多个URI伪协议,预期情况下链接可以通过点击或自动化的文档事件触发,链接的执行必须经过用户同意。
但在OpenOffice 4.1.15之前版本中,对某些链接不会要求用户同意而自动执行,因此攻击者可能通过向用户发送包含恶意链接的文档,在用户打开时执行恶意脚本。
风险等级:高风险。
影响范围:启动openoffice@[3.4.0, 4.1.15)
修复建议:升级openoffice到 4.1.15 或更高版本
进行安全更新方法:
https://github.com/apache/openoffice/commit/f8c074b1219af2a7160e5b8f8157fac1a2076a93
