为了节省成本,有些企业会采用开放原始码的办公室生产力软体,若有资安漏洞,势必影响前端使用者,甚至伺服器存取文件的安全性。1月7日文件基金会(The Document Foundation)发布资安公告,指出他们在去年底发布的根据文件基金会发布的资安公告,较为危险的是CVE-2024-12426,这项漏洞出现在URL截取功能,能用于渗透任意INI档案的数值及环境变数,CVSS风险为6.7分;另一个漏洞CVE-2024-12425与路径穿越有关,可被用于写入任意TTF档案,风险评分为2.4。
乍看之下,这些漏洞危险程度不高,但通报漏洞的资安业者Codean Labs指出,这些漏洞都与LibreOffice载入文件档案的过程有关,过程中无须使用者互动,无论是使用者开启攻击者提供的恶意档案,或是伺服器以无头模式(headless)执行LibreOffice转换档案,都会触发上述弱点。
究竟这些漏洞带来的危害是什么?Codean Labs资安研究员Thomas Rinsma指出,若是企业组织的伺服器遭到利用攻击,由于这些弱点能让攻击者有机会读取及写入伺服器的档案系统,有可能导致伺服器完全被渗透。
而对于一般的使用者来说,攻击者有机会利用钓鱼邮件窃取或重置特定的Token,而能在针对特定目标的情况下用于进一步攻击。