Уязвимость загрузки удаленных графических ссылок из документов DOCX в LibreOffice в режиме повышенной безопасности
Описание
В LibreOffice существует "скрытый режим" (stealth mode), в котором только документы из доверенных мест могут запрашивать удалённые ресурсы. Этот режим не является режимом по умолчанию, но может быть включён пользователями, которые хотят отключить возможность LibreOffice включать удалённые ресурсы в документы. До версии 6.4.4 в этом режиме существовала ошибка, из-за которой удалённые графические ссылки, загружаемые из документов формата DOCX, не подпадали под эту защиту.
Затронутые версии ПО
- The Document Foundation LibreOffice версии до 6.4.4
Тип уязвимости
Недостаточная проверка доступа
Ссылки
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Vendor Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
5.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
LibreOffice has a 'stealth mode' in which only documents from locations deemed 'trusted' are allowed to retrieve remote resources. This mode is not the default mode, but can be enabled by users who want to disable LibreOffice's ability to include remote resources within a document. A flaw existed where remote graphic links loaded from docx documents were omitted from this protection prior to version 6.4.4. This issue affects: The Document Foundation LibreOffice versions prior to 6.4.4.
LibreOffice has a 'stealth mode' in which only documents from locations deemed 'trusted' are allowed to retrieve remote resources. This mode is not the default mode, but can be enabled by users who want to disable LibreOffice's ability to include remote resources within a document. A flaw existed where remote graphic links loaded from docx documents were omitted from this protection prior to version 6.4.4. This issue affects: The Document Foundation LibreOffice versions prior to 6.4.4.
LibreOffice has a 'stealth mode' in which only documents from location ...
LibreOffice has a 'stealth mode' in which only documents from locations deemed 'trusted' are allowed to retrieve remote resources. This mode is not the default mode, but can be enabled by users who want to disable LibreOffice's ability to include remote resources within a document. A flaw existed where remote graphic links loaded from docx documents were omitted from this protection prior to version 6.4.4. This issue affects: The Document Foundation LibreOffice versions prior to 6.4.4.
Уязвимость компонента «скрытый режим» офисного пакета LibreOffice, позволяющая нарушителю получить доступ к конфиденциальным данным
EPSS
5.3 Medium
CVSS3
4.3 Medium
CVSS2