Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-9847

Опубликовано: 09 мая 2019
Источник: nvd
CVSS3: 7.8
CVSS2: 6.8
EPSS Низкий

Уязвимость неконтролируемого запуска исполняемых файлов через гиперссылки в LibreOffice для Windows и macOS

Описание

Уязвимость в обработке гиперссылок LibreOffice позволяет злоумышленнику создавать документы с гиперссылками, указывающими на расположение исполняемого файла в файловой системе целевого пользователя. Если жертва активирует такую гиперссылку, исполняемый файл запускается безусловно. На Windows и macOS при обработке гиперссылки, активированной пользователем, не осуществляется проверка на то, является ли цель гиперссылки исполняемым файлом, из-за чего такие цели запускаются безоговорочно.

Затронутые версии ПО

  • Все версии LibreOffice для Windows и macOS до 6.1.6
  • Версии LibreOffice для Windows и macOS в серии 6.2 до 6.2.3

Тип уязвимости

Неконтролируемый запуск исполняемого файла

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:libreoffice:libreoffice:*:*:*:*:*:*:*:*
Версия до 6.1.6 (исключая)
cpe:2.3:a:libreoffice:libreoffice:*:*:*:*:*:*:*:*
Версия от 6.2 (включая) до 6.2.3 (исключая)

Одно из

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 47%
0.00237
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

ubuntu логотип

CVE-2019-9847

CVSS3: 7.8
ubuntu
больше 6 лет назад

A vulnerability in LibreOffice hyperlink processing allows an attacker to construct documents containing hyperlinks pointing to the location of an executable on the target users file system. If the hyperlink is activated by the victim the executable target is unconditionally launched. Under Windows and macOS when processing a hyperlink target explicitly activated by the user there was no judgment made on whether the target was an executable file, so such executable targets were launched unconditionally. This issue affects: All LibreOffice Windows and macOS versions prior to 6.1.6; LibreOffice Windows and macOS versions in the 6.2 series prior to 6.2.3.

debian логотип

CVE-2019-9847

CVSS3: 7.8
debian
больше 6 лет назад

A vulnerability in LibreOffice hyperlink processing allows an attacker ...

github логотип

GHSA-cxqx-7gmj-4vg7

github
больше 3 лет назад

A vulnerability in LibreOffice hyperlink processing allows an attacker to construct documents containing hyperlinks pointing to the location of an executable on the target users file system. If the hyperlink is activated by the victim the executable target is unconditionally launched. Under Windows and macOS when processing a hyperlink target explicitly activated by the user there was no judgment made on whether the target was an executable file, so such executable targets were launched unconditionally. This issue affects: All LibreOffice Windows and macOS versions prior to 6.1.6; LibreOffice Windows and macOS versions in the 6.2 series prior to 6.2.3.

fstec логотип

BDU:2019-01820

CVSS3: 7.8
fstec
больше 6 лет назад

Уязвимость пакета офисных программ LibreOffice, существующая из-за недостаточной проверки входных данных, позволяющая оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 47%
0.00237
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-20