Раскрыта информация об уявзвимости (CVE-2025-1080), позволяющей добиться выполнения произвольного скрипта без вывода предупреждения пользователю при переходе по специально подготовленной ссылке в документе или при срабатывании определённого события во время работы с документом. Проблеме присвоен высокий уровень опасности (7.2 из 10). Уязвимость устранена в недавних обновлениях LibreOffice 24.8.5 и 25.2.1.
Уязвимость вызвана возможностью обращения к специфичной для LibreOffice URI-схеме вызова макросов ‘vnd.libreoffice.command:’ в реализации URI-схем для интеграции с сервером MS SharePoint. Атакующий может воспользоваться подобными URI для создания встроенных ссылок, которые при обработке в LibreOffice могут вызывать любые внутренние макросы с произвольными аргументами.