The Document Foundation发布了一则安全公告,针对 LibreOffice 中存在的一个漏洞,该漏洞可能使攻击者在用户系统上执行恶意文件。此漏洞编号为 CVE – 2025 – 0514,通用漏洞评分系统(CVSS)评分为 7.2,影响 LibreOffice 24.8.5 之前的版本。
该漏洞源于 LibreOffice 处理文档中超链接的方式。在 Windows 系统下,按下 Ctrl 键并点击链接可激活超链接。此操作会将链接传递给 ShellExecute 函数,然后由该函数处理链接。LibreOffice 设有阻止将可执行目标路径传递给 ShellExecute 的机制,以避免尝试启动可执行文件。
然而,在 24.8.5 之前的版本中,通过使用非文件 URL(Uniform Resource Locator,统一资源定位符)可绕过此机制,这些非文件 URL 可被 ShellExecute 解释为 Windows 文件路径。这可能使攻击者精心构造一个恶意超链接,一旦被激活,就会在用户系统上执行恶意文件。
The Document Foundation已在 LibreOffice 24.8.5 版本中修复了此漏洞。建议所有 Windows 用户升级到该版本或更高版本,以防范潜在攻击。
发表评论
您还未登录,请先登录。
登录