Vulnerabilidades de ejecución de códigos y comandos arbitrarios en Apache OpenOffice

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a Apache OpenOffice, que permitirían a un atacante realizar ejecución de código Java arbitrario y comandos de URL arbitrarios en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Critica” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación: 

  • CVE-2022-47502, de severidad “Crítica” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de controles de seguridad de Macros en Apache OpenOffice. Esto permitiría a un atacante evadir los controles de seguridad de Office contra ejecución de URLs de macros internos sin previo aviso al usuario, provocando ejecución arbitraria de secuencias de comandos en el sistema afectado. Actualmente para esta vulnerabilidad existe una prueba de concepto (PoC)asociada. 
  • CVE-2022-38745, de severidad “Media” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el control de ruta (path) de clases Java en Apache OpenOffice. Esto permitiría a un atacante agregar una entrada vacía a la ruta (path) de clase Java y ejecutar código Java arbitrario desde el directorio actual en el sistema afectado. 

Las versiones afectadas son: 

  • Apache OpenOffice, versión 4.1.13 y anteriores. 

Recomendamos acceder a los parches correspondientes proporcionados por el fabricante en el siguiente enlace: 

Referencias: 

Compartir: