首页 > 安全研究 > 安全通报 > 安全通告

LibreOffice代码执行漏洞安全通告

发布时间 2019-07-29

◆ 漏洞编号和级别


CVE编号:CVE-2019-9848,危险级别:高危,CVSS分值:官方未评定


◆ 影响版本


受影响的版本


LibreOffice 6.2.5及之前版本


◆ 漏洞概述


LibreOffice是由The Document Foundation开发的MS Office的开源办公套件替代品,与.doc,.docx,.xls,.xlsx,.ppt,.pptx文件兼容并支持所有操作系统平台。


研究人员在LibreOffice中发现了一个代码执行漏洞,该漏洞允许攻击者静默执行任意python命令,而不会发出警告以利用易受攻击的系统。


默认情况下,LibreOffice随附LibreLogo(Python解释器),这是一个宏可编程移动乌龟矢量图形来执行自定义脚本代码,内部转换python代码并执行。关键错误正好存在于LibreLogo中,其中代码不能很好地翻译,只是提供python代码,因为脚本代码经常在翻译后生成相同的代码。


LibreOffice修补了此漏洞,但在Twitter上有一个名叫Alex的研究员声称他成功绕过了LibreOffice 6.2.5中CVE-2019-9848的修复程序。


◆ 漏洞验证


POC:https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-execution-vulnerability-cve-2019-9848/。


◆ 修复建议


由于Alex报告了新错误,LibreOffice团队仍在努力修复漏洞,目前建议在当前版本的LibreOffice中禁用LibreLogo组件。


◆ 参考链接


https://gbhackers.com/libreoffice/

上一篇 下一篇