近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于Apache OpenOffice參數(shù)注入漏洞(CNNVD-202303-1952、CVE-2022-47502)情況的報(bào)送。成功利用漏洞的攻擊者,可在目標(biāo)系統(tǒng)執(zhí)行任意代碼。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影響。目前,Apache官方已發(fā)布新版本修復(fù)了該漏洞,建議用戶及時(shí)確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。
一、漏洞介紹
Apache OpenOffice是美國(guó)阿帕奇(Apache)基金會(huì)的一款開(kāi)源的辦公軟件套件,該套件包含文本文檔、電子表格、演示文稿、繪圖、數(shù)據(jù)庫(kù)等。由于Apache OpenOffice文檔內(nèi)可通過(guò)含有任意參數(shù)的鏈接調(diào)用內(nèi)部宏,惡意攻擊者通過(guò)修改特殊URI Scheme構(gòu)造惡意鏈接調(diào)用宏,當(dāng)用戶點(diǎn)擊鏈接或通過(guò)自動(dòng)文檔事件激活時(shí),會(huì)導(dǎo)致覆蓋掉文檔中現(xiàn)有宏的代碼,從而執(zhí)行任意代碼。
二、危害影響
成功利用漏洞的攻擊者,可在目標(biāo)系統(tǒng)執(zhí)行任意代碼。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影響。
三、修復(fù)建議
目前,Apache官方已發(fā)布新版本修復(fù)了該漏洞,建議用戶及時(shí)確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。官方下載鏈接:
https://www.openoffice.org/download/
本通報(bào)由CNNVD技術(shù)支撐單位——新華三技術(shù)有限公司、上海斗象信息科技有限公司、北京云科安信科技有限公司、天津市興先道科技有限公司、貴州數(shù)創(chuàng)控股(集團(tuán))有限公司、內(nèi)蒙古信息系統(tǒng)安全等級(jí)測(cè)評(píng)中心等技術(shù)支撐單位提供支持。
