 |
06 de febrero de 2019 |
Descripción
El investigador de seguridad Alex Inführ ha descubierto una vulnerabilidad de ejecución de código remoto (RCE) en estas dos suites de oficina de código abierto, que podría activarse con sólo abrir un archivo ODT (Open Document Text) maliciosamente creado aprovechandose de una falla con el identificador CVE-2018-16858 para ejecutar automáticamente una librería específica de Phyton llamado «pydoc.py» que viene incluido con el propio interprete de Phyton.
Productos afectados
Usuarios de Windows, Linux o macOS que tengan instalado esta suite ofimática
- OpenOffice 4.1.6
- LibreOffice con versión anterior a 6.0.7 o 6.1.3
Solución:
Actualizar a la última versión de LibreOffice 6.1.4 que se encuentra disponible para su descarga e instalación en: libreoffice.org
De manera provisional hasta que se publique una actualización de seguridad, los usuarios de OpenOffice pueden eliminar o renombrar el archivo pythonscript.py en la carpeta de instalación (\OpenOffice 4\program) para desactivar la compatibilidad con Phyton.
Para más información:
https://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html
