Podatność CVE-2019-9850
Publikacja: 2019-08-15   Modyfikacja: 2019-08-16

Opis:
LibreOffice is typically bundled with LibreLogo, a programmable turtle vector graphics script, which can execute arbitrary python commands contained with the document it is launched from. LibreOffice also has a feature where documents can specify that pre-installed scripts can be executed on various document script events such as mouse-over, etc. Protection was added, to address CVE-2019-9848, to block calling LibreLogo from script event handers. However an insufficient url validation vulnerability in LibreOffice allowed malicious to bypass that protection and again trigger calling LibreLogo from script event handlers. This issue affects: Document Foundation LibreOffice versions prior to 6.2.6.

Typ:

CWE-20

 (Improper Input Validation)

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.5/10
6.4/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Libreoffice -> Libreoffice 
Fedoraproject -> Fedora 
Debian -> Debian linux 
Canonical -> Ubuntu linux 

 Referencje:
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00006.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PMEGUWMWORC3DOVEHVXLFT3A5RSCMLBH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WVSDPZJG3UA43X3JXRHJAWXLDZEW77LM/
https://seclists.org/bugtraq/2019/Aug/28
https://usn.ubuntu.com/4102-1/
https://www.debian.org/security/2019/dsa-4501
https://www.libreoffice.org/about-us/security/advisories/CVE-2019-9850
Copyright 2024, cxsecurity.com

 

Back to Top