For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00040
Identificador(es)
ASA-2019-00040, CVE-2018-16858
Título
Falha de directory traversal em execução de script
Fabricante(s)
The Document Foundation
Produto(s)
LibreOffice
Versão(ões) afetada(s)
LibreOffice anterior às versões 6.0.7 e 6.1.3
Versão(ões) corrigida(s)
LibreOffice 6.0.7 e 6.1.3
Prova de conceito
Yes
Descrição
O LibreOffice tem um recurso onde os documentos podem especificar que macros pré-instaladas podem ser executadas em vários eventos de documentos, como passar o mouse, etc.
Anterior ao LibreOffice versões 6.0.7 e 6.1.3 era vulnerável a um ataque de directory traversal onde era possível criar um documento que quando aberto pelo LibreOffice executaria um método python a partir de um script em qualquer arquivo arbitrário, quando tais eventos de documentos comuns ocorressem localização do sistema, especificada em relação ao local de instalação do LibreOffice.
Normalmente, o LibreOffice é empacotado com python, portanto, um atacante tem um conjunto de scripts conhecidos em um local do sistema de arquivos relativo conhecido para trabalhar.
Detalhes técnicos
Desconhecido
Créditos
Alex Inführ
Referência(s)
CVE-2018-16858 | LibreOffice – Free Office Suite – Fun Project – Fantastic People
https://www.libreoffice.org/about-us/security/advisories/cve-2018-16858/
Libreoffice (CVE-2018-16858) – Remote Code Execution via Macro/Event execution
https://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html
CVE-2018-16858
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16858
CVE-2018-16858
https://nvd.nist.gov/vuln/detail/CVE-2018-16858
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 11 fevereiro 2019