Luka w LibreOffice umożliwiająca uruchamianie skryptów przez makra

W LibreOffice odkryto podatność CVE-2025-1080, która pozwalała na zdalne wykonywanie skryptów przy użyciu zmodyfikowanych adresów URL. Problem został naprawiony w wersjach 24.8.5 oraz 25.2.1, wydanych 4 marca 2025 roku.

Źródło problemu

Luka była związana z obsługą niestandardowych schematów URI, które integrują LibreOffice z przeglądarkami i narzędziami współpracy. Niepoprawna walidacja linków w funkcji vnd.libreoffice.command umożliwiała atakującym osadzenie specjalnych parametrów w adresach URL.

Kliknięcie takiego spreparowanego linku mogło prowadzić do uruchomienia makr w LibreOffice, bez dodatkowej autoryzacji. Luka ta była szczególnie niebezpieczna dla firm korzystających z systemów opartych na SharePoint, ponieważ mogła zostać użyta do wykonania nieautoryzowanych operacji w dokumentach.

Wprowadzone poprawki

Nowe wersje LibreOffice eliminują zagrożenie poprzez:

• Lepszą kontrolę schematów URI, blokującą niepoprawnie sformułowane linki
• Dodatkowe okna ostrzegawcze przy próbie uruchomienia makr
• Izolację procesów przetwarzających adresy URI, co zapobiega nieautoryzowanym operacjom

Dla użytkowników, którzy nie mogą natychmiast zaktualizować oprogramowania, zaleca się wyłączenie funkcji integracji przeglądarki z LibreOffice poprzez ustawienia administracyjne.

Specjaliści ds. bezpieczeństwa przypominają, że ataki wykorzystujące manipulację linkami często bazują na technikach socjotechnicznych, dlatego zaleca się ostrożność przy otwieraniu nieznanych odnośników. Dzięki współpracy badaczy i programistów LibreOffice udało się skutecznie wyeliminować zagrożenie.