Apache OpenOffice<4.1.15 任意宏脚本执行漏洞 (CVE-2023-47804)

漏洞类型 代码注入 发现时间 2023-12-29 漏洞等级 高危
MPS编号 MPS-8ch4-z16y CVE编号 CVE-2023-47804 漏洞影响广度 极小

漏洞危害

OSCS 描述
Apache OpenOffice是开源的Office套件。
Apache OpenOffice文档中可以包含用于调用具有任意参数的内部宏链接。基于此目的其实现了多个URI伪协议,预期情况下链接可以通过点击或自动化的文档事件触发,链接的执行必须经过用户同意。
但在OpenOffice 4.1.15之前版本中,对某些链接不会要求用户同意而自动执行,因此攻击者可能通过向用户发送包含恶意链接的文档,在用户打开时执行恶意脚本。
参考链接:https://www.oscs1024.com/hd/MPS-8ch4-z16y

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
openoffice [3.4.0, 4.1.15) 升级 升级openoffice到 4.1.15 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-8ch4-z16y

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-8ch4-z16y

https://www.openoffice.org/security/cves/CVE-2023-47804.html

https://github.com/apache/openoffice/commit/f8c074b1219af2a7160e5b8f8157fac1a2076a93

https://nvd.nist.gov/vuln/detail/CVE-2023-47804

(0)
上一篇 2023年12月30日 下午12:00
下一篇 2023年12月31日 下午12:00

相关推荐

  • 泛微 e-cology9 存在任意用户登录漏洞

    漏洞类型 身份验证不当 发现时间 2023/5/16 漏洞等级 高危 MPS编号 MPS-qj5s-7z0o CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微e-cology9部分版本中存在前台任意用户登录漏洞,由于系统默认配置固定密钥进行用户身份验证。当存在/m…

    2023年8月31日
    0
  • Apache IoTDB Sync Tool反序列化漏洞 (CVE-2023-51656)

    漏洞类型 反序列化 发现时间 2023-12-21 漏洞等级 中危 MPS编号 MPS-b5gs-81ux CVE编号 CVE-2023-51656 漏洞影响广度 漏洞危害 OSCS 描述 Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。 在 FileLoaderManager.java 文件的 deSeriali…

    2023年12月22日
    0
  • Atlassian Bitbucket 远程代码执行漏洞 (CVE-2023-22513)

    漏洞类型 输入验证不恰当 发现时间 2023-09-20 漏洞等级 高危 MPS编号 MPS-2023-0013 CVE编号 CVE-2023-22513 漏洞影响广度 广 漏洞危害 OSCS 描述 Atlassian Bitbucket 是澳大利亚Atlassian公司的一款Git代码托管解决方案。 在Bitbucket Server 和 Data Cen…

    2023年9月21日
    0
  • GeoServer 文件上传漏洞 (CVE-2023-51444)

    漏洞类型 任意文件上传 发现时间 2024-03-20 漏洞等级 高危 MPS编号 MPS-k1cj-eg7w CVE编号 CVE-2023-51444 漏洞影响广度 广 漏洞危害 OSCS 描述 GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。 GeoServer受影响版本中存在任意文件上传漏洞。由于未验证用户输入的…

    2024年3月21日
    0
  • Apache Dubbo 3.1.5 反序列化漏洞 (CVE-2023-46279)

    漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 严重 MPS编号 MPS-k3ml-xyci CVE编号 CVE-2023-46279 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。 在3.1.5版本中,由于新增的SerializeSecurityManager类存在缺陷,…

    2023年12月18日
    0