CVE-2024-5261

ANC

Критический

Уязвимость, связанная с некорректной проверкой сертификатов в LibreOffice, в ре�…

CVSS

10.0

Критический

EPSS

0.01

p66

Опубликовано

2024-01-01

Обновлено

2024-01-01

Описание

Уязвимость, связанная с некорректной проверкой сертификатов в LibreOffice, в режиме "LibreOfficeKit" отключает проверку TLS-сертификации. LibreOfficeKit можно использовать для доступа к функциональности LibreOffice через C/C++. Обычно это используется сторонними компонентами для повторного использования LibreOffice в качестве библиотеки для преобразования, просмотра или иного взаимодействия с документами. LibreOffice внутренне использует "curl" для получения удаленных ресурсов, таких как изображения, размещенные на веб-серверах. В уязвимых версиях LibreOffice, при использовании только в режиме LibreOfficeKit, проверка TLS-сертификации curl была отключена (CURLOPT_SSL_VERIFYPEER = false). В исправленных версиях curl работает в режиме LibreOfficeKit так же, как и в стандартном режиме с CURLOPT_SSL_VERIFYPEER = true. Эта проблема затрагивает LibreOffice до версии 24.2.4.

Теги · CWE

Без аутентификации

CWE-295

CAPEC-459

CAPEC-475

Затронутые продукты

Libreoffice < 24.2.4

Вектор CVSS

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Хронология

2024-01-01

Опубликована

2024-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требования к атаке

AT: N

None

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Конфиденциальность уязвимой системы

VC: H

Высокое (H)

Целостность уязвимой системы

VI: H

Высокое (H)

Доступность уязвимой системы

VA: H

Высокое (H)

Конфиденциальность последующей системы

SC: H

Высокое (H)

Целостность последующей системы

SI: H

Высокое (H)

Доступность последующей системы

SA: H

Высокое (H)

Зрелость эксплойт-кода

E: X

Not Defined

Требование конфиденциальности

CR: X

Not Defined

Требование целостности

IR: X

Not Defined

Требование доступности

AR: X

Not Defined

Модифицированный вектор атаки

MAV: X

Not Defined

Модифицированная сложность атаки

MAC: X

Not Defined

Модифицированные требования к атаке

MAT: X

Not Defined

Модифицированные требуемые привилегии

MPR: X

Not Defined

Модифицированное взаимодействие с пользователем

MUI: X

Not Defined

Модифицированная конфиденциальность уязвимой системы

MVC: X

Not Defined

Модифицированная целостность уязвимой системы

MVI: X

Not Defined

Модифицированная доступность уязвимой системы

MVA: X

Not Defined

Модифицированная конфиденциальность последующей системы

MSC: X

Not Defined

Модифицированная целостность последующей системы

MSI: X

Not Defined

Модифицированная доступность последующей системы

MSA: X

Not Defined

S: X

AU: X

R: X

V: X

RE: X

U: X

Индикаторы эксплуатации

EPSS

0.005 · p66

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Уязвимое ПО

Продукт	Вендор	Статус
		Отслеживается
libreoffice		Отслеживается
libreoffice		Отслеживается
libreoffice		Отслеживается
libreoffice		Отслеживается
libreoffice		Отслеживается
libreoffice		Отслеживается
libreoffice		Отслеживается
libreoffice		Отслеживается
libreoffice		Отслеживается
libreoffice		Отслеживается
libreoffice		Отслеживается
libreoffice	*	Отслеживается

Источники данных

ANC

AST

DEB

CVE

UBU

Связанные уязвимости

BDU:2024-04913