Уязвимости в LibreOffice, позволяющие выполнить скрипт или плагин Gstreamer

Раскрыта информация о двух уязвимостях в свободном офисном пакете LibreOffice, которым присвоен высокий уровень опасности (8.3 из 10). Проблемы устранены в недавних обновлениях LibreOffice 7.6.4 и 7.5.9.

Первая уязвимость (CVE-2023-6186) позволяет организовать выполнение произвольного скрипта при нажатии пользователем на специально добавленную в документ ссылку, запускающую встроенные макросы или внутренние команды. В определённых ситуациях можно было добиться отключения показа предварительного предупреждения о совершаемой операции при нажатии на подобные ссылки.

Вторая уязвимость (CVE-2023-6185) позволяет при открытии документа со специально оформленным встроенным видео добиться на платформе Linux выполнения произвольных плагинов к мультимедийному фреймворку Gstreamer. Проблема вызвана отсутствием должного экранирования спецсимволов в имени файла с видео перед обращением к Gstreamer.

Release. Ссылка here.