关于Apache OpenOffice参数注入漏洞情况的通报
发布时间:
2023-04-03
文章来源:
作者
发布人:
wlaq
浏览次数:

发布时间:2023-04-03文章来源:网络与信息中心作者: 发布人:wlaq 浏览次数:10


近日,国家信息安全漏洞库(CNNVD)收到关于Apache OpenOffice 参数注入漏洞(CNNVD-202303-1952、CVE-2022-47502)情况的报送。成功利用漏洞的攻击者,可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。


一、漏洞介绍

Apache OpenOffice是美国阿帕奇(Apache)基金会的一款开源的办公软件套件,该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。由于Apache OpenOffice 文档内可通过含有任意参数的链接调用内部宏,恶意攻击者通过修改特殊URI Scheme 构造恶意链接调用宏,当用户点击链接或通过自动文档事件激活时,会导致覆盖掉文档中现有宏的代码,从而执行任意代码。


二、危害影响

成功利用漏洞的攻击者,可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。


三、修复建议

目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方下载链接:https://www.openoffice.org/download/


引用自:https://www.cnnvd.org.cn/home/warn

Copyright 2013 中国海洋大学网络与信息中心
电话:0532-66782160
邮箱:wlzx@ouc.edu.cn
地址:青岛市松岭路238号,中国海洋大学 图书馆B楼
邮编:266000