LibreOffice ha una caratteristica in cui i documenti possono specificare che le macro pre-installati possono essere eseguiti su vari eventi di script come mouse-over, il documento aperto, ecc accesso è destinato ad essere limitato agli script sotto gli share / Scripts / python, degli utenti / Scripts / python sottodirectory della LibreOffice installazione. Protezione è stato aggiunto, all’indirizzo CVE-2.018-16.858, per evitare un attacco di attraversamento directory in cui potrebbero essere eseguiti gli script in posizioni arbitrarie sul file system. Tuttavia questa nuova protezione potrebbe essere bypassato da un attacco codifica URL. Nelle versioni fisse, l’url analizzata descrive l’ubicazione dello script è codificato in modo corretto prima di ulteriori trasformazioni. Questo problema riguarda: le versioni dei documenti Fondazione LibreOffice prima della 6.2.6.
https://seclists.org/bugtraq/2019/Aug/28
https://seclists.org/bugtraq/2019/Sep/17
https://www.debian.org/security/2019/dsa-4501
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PMEGUWMWORC3DOVEHVXLFT3A5RSCMLBH/
https://www.libreoffice.org/about-us/security/advisories/CVE-2019-9852
https://lists.debian.org/debian-lts-announce/2019/10/msg00005.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00006.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00067.html
https://usn.ubuntu.com/4102-1/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9852
