Global Preloader
Vulnerabilidad
(12/Feb/2018) Vulnerabilidad en LibreOffice

Vulnerabilidad en LibreOffice

La vulnerabilidad se encuentra en el soporte que da LibreOffice en la función "COM.MICROSOFT.WEBSERVICE" función que se encarga de mostrar datos de Internet en documentos de LibreOffice Calc.

Esta función recibe un parámetro en la URL de cualquier servicio web. Si se devuelve una cadena no válida o que contenga más caracteres que lo permitido por las celdas (longitud máxima: 32767).

Si la URL contiene una cadena de más de 2048 caracteres permitidos en una petición GET. Esta restricción no está implementada en LibreOffice. Por defecto las celdas no se actualizan, pero si se especifica el tipo de celda como '~error' hará que la celda se actualice cuando se abra el documento. Con esto es muy fácil enviar cualquier archivo con información sensible.

Por ahora las versiones de LibreOffice vulnerables a este ataque son:

  • LibreOffice 5.4.5 hasta 6.0.1
  • Explotable en cualquier plataforma Linux/Windows/macOS