网络安全

关于Apache OpenOffice任意脚本执行漏洞(CVE-2022-47502)的安全预警

2023-04-17

一、基本情况


Apache OpenOffice是一款类似于微软MS Office软件和WPS的开源办公软件套件,它包含文本文档、电子表格、演示文稿、绘图、数据库等。


二、漏洞描述


启明星辰VSRC监测到Apache发布安全公告,修复了Apache OpenOffice中的任意脚本执行漏洞(CVE-2022-47502)。由于Apache OpenOffice 文档可以通过包含任意参数的链接调用内部宏(通过预定义URL),链接可以通过点击或自动文档事件激活,但需要用户交互,成功触发此类链接可能导致任意脚本执行。

三、影响范围


Apache OpenOffice 版本<= 4.1.13


OpenOffice.org版本也可能受到影响。


四、修复建议


目前该漏洞已经修复,受影响用户可升级到Apache OpenOffice 版本4.1.14。


下载链接:


https://www.openoffice.org/download/


注:Apache OpenOffice 版本4.1.14中还修复了另一个代码执行漏洞(CVE-2022-38745,中危),由于4.1.14 之前的 Apache OpenOffice 版本可能被配置为向 Java 类路径添加一个空条目,可能会导致从当前目录运行任意 Java 代码。


五、参考链接


https://www.openoffice.org/security/cves/CVE-2022-47502.html


https://lists.apache.org/thread/xr6tl91jj2jgcq8pdbrc4d8w13s6xn80


XML 地图