關于Apache OpenOffice參數注入漏洞情況的通報

近日，國家信息安全漏洞庫（CNNVD）收到關于Apache OpenOffice 參數注入漏洞（CNNVD-202303-1952、CVE-2022-47502）情況的報送。成功利用漏洞的攻擊者，可在目標系統執行任意代碼。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影響。目前，Apache官方已發布新版本修復了該漏洞，建議用戶及時確認產品版本，盡快采取修補措施。

一、漏洞介紹

Apache OpenOffice是美國阿帕奇（Apache）基金會的一款開源的辦公軟件套件,該套件包含文本文檔、電子表格、演示文稿、繪圖、數據庫等。由于Apache OpenOffice 文檔內可通過含有任意參數的鏈接調用內部宏，惡意攻擊者通過修改特殊URI Scheme 構造惡意鏈接調用宏，當用戶點擊鏈接或通過自動文檔事件激活時，會導致覆蓋掉文檔中現有宏的代碼,從而執行任意代碼。

二、危害影響

成功利用漏洞的攻擊者，可在目標系統執行任意代碼。ApacheOpenOffice 4.1.13及其以下版本均受此漏洞影響。

三、修復建議

目前，Apache官方已發布新版本修復了該漏洞，建議用戶及時確認產品版本，盡快采取修補措施。官方下載鏈接：https://www.openoffice.org/download/

本通報由CNNVD技術支撐單位——新華三技術有限公司、上海斗象信息科技有限公司、北京云科安信科技有限公司、天津市興先道科技有限公司、貴州數創控股（集團）有限公司、內蒙古信息系統安全等級測評中心等技術支撐單位提供支持。