LibreOffice/OpenOffice - luka powalająca wykonać zdalny kod

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19204
Reakcje/Polubienia
55889
W największym skrócie,
Zaloguj lub Zarejestruj się aby zobaczyć!
i zdefiniować w zdarzeniu mouseover uruchomienie skryptu Python. W źródle pliku ODT (dokładniej w jednym z plików, który znajduje się w ODT) mamy wtedy tego typu kod
<script:event-listener script:language=”ooo:script” script:event-name=”dom:mouseover” xlink:href=”vnd.sun.star.script:pythonSamples|TableSample.py$createTable?language=Python&amp;location=share” xlink:type=”simple”/>
Kliknij aby rozwinąć...
Z racji, że interpreter Pythona jest instalowany razem z LibreOffice, autor badania przygotował dokument z białym linkiem rozszerzonym na całą stronę. Po otwarciu dokumentu i lekkim ruchu myszką mamy odpalenie kodu w systemie operacyjnym:



Podatność załatano w:

Libreoffice: 6.1.4.2
Libreoffice: 6.0.7

OpenOffice podatny jest w najnowszej wersji 4.1.6
Kliknij aby rozwinąć...

źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!


Pełny artykuł źródłowy:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

OXYGEN THIEF
Szczecin. Ktoś włamał się do systemu płatnego parkowania i podmienił numer konta...
Odpowiedzi
0
Wyświetleń
35
OXYGEN THIEF
OXYGEN THIEF
Grandalf
Prawie połowa serwerów Microsoft Exchange w Polsce narażona na ataki z zewnątrz
Odpowiedzi
0
Wyświetleń
67
Grandalf
Grandalf
Grandalf
DCG Centrum Medyczne zostało zhakowane - gruby wyciek
Odpowiedzi
2
Wyświetleń
79
Grandalf
Grandalf
Grandalf
Podatność powodująca, że szyfrowanie PGP mogło zmienić temat wiadomości e-mail w Thunderbirdzie
Odpowiedzi
0
Wyświetleń
57
Grandalf
Grandalf
spamtrash
wpath.org
Odpowiedzi
0
Wyświetleń
65
spamtrash
spamtrash
Do góry