一、基本情況

Apache OpenOffice是一款類(lèi)似于微軟MS Office軟件和WPS的開(kāi)源辦公軟件套件，它包含文本文檔、電子表格、演示文稿、繪圖、數(shù)據(jù)庫(kù)等。

二、漏洞描述

啟明星辰VSRC監(jiān)測(cè)到Apache發(fā)布安全公告，修復(fù)了Apache OpenOffice中的任意腳本執(zhí)行漏洞（CVE-2022-47502）。由于A(yíng)pache OpenOffice 文檔可以通過(guò)包含任意參數(shù)的鏈接調(diào)用內(nèi)部宏（通過(guò)預(yù)定義URL），鏈接可以通過(guò)點(diǎn)擊或自動(dòng)文檔事件激活，但需要用戶(hù)交互，成功觸發(fā)此類(lèi)鏈接可能導(dǎo)致任意腳本執(zhí)行。

三、影響范圍

Apache OpenOffice 版本<= 4.1.13

OpenOffice.org版本也可能受到影響。

四、修復(fù)建議

目前該漏洞已經(jīng)修復(fù)，受影響用戶(hù)可升級(jí)到Apache OpenOffice 版本4.1.14。

下載鏈接：

https://www.openoffice.org/download/

注：Apache OpenOffice 版本4.1.14中還修復(fù)了另一個(gè)代碼執(zhí)行漏洞（CVE-2022-38745，中危），由于4.1.14 之前的 Apache OpenOffice 版本可能被配置為向 Java 類(lèi)路徑添加一個(gè)空條目，可能會(huì)導(dǎo)致從當(dāng)前目錄運(yùn)行任意 Java 代碼。

五、參考鏈接

https://www.openoffice.org/security/cves/CVE-2022-47502.html

https://lists.apache.org/thread/xr6tl91jj2jgcq8pdbrc4d8w13s6xn80