错误可以允许执行远程代码
Libreoffice和Apache OpenOffice中的一个缺陷可以允许远程代码执行(RCE),仅在其中一个程序中修补了。
漏洞(CVE-2018-16858)在共享相同代码的开源办公室套房中,研究员AlexInführ在10月份进行了报告。
他发现他可以通过使用鼠标移到在Opentocument文本(ODT)文件中的链接中的事件。
当受害者的鼠标徘徊在链接上并执行本地Python文件时,此事件会触发。
Inführ找到了一种滥用事件的方法,以在Libreoffice的Python解释器中包含的Python文件中调用功能,该文件是标准的。
该利用也能够传递参数。
他写道博客文章:“用户控制的CMD参数将传递给OS.System调用,该参数仅将字符串传递到子壳(窗口上的cmd.exe),因此允许执行带有参数的本地文件。”
Inführ报告了10月18日的错误。到10月30日,Libreoffice修补了该错误。
尽管容易受到远程代码执行利用的影响,但Apache OpenOffice仍未修复缺陷。
Inführ写道:“我通过电子邮件重新确认了我被允许发布漏洞的详细信息,尽管OpenOffice仍然没有拨款。
“ OpenOffice不允许传递参数,因此我的POC不起作用,但路径遍历可以滥用从本地文件系统上的另一个位置执行Python脚本。”
开源办公室套房著名地分为两个单独的项目,并由单独的团队维护。
每日swbeplay2018官网ig已与Apache OpenOffice团队联系以进行评论。
