Gần đây, hai lỗ hổng bảo mật CVE-2022-38745 và CVE-2022-47502 đã được phát hiện trong các phiên bản Apache OpenOffice trước 4.1.14.
Apache OpenOffice là một trong những bộ phần mềm mã nguồn mở nổi tiếng phổ biến trên thế giới với các ứng dụng đa dạng và hỗ trợ nhiều ngôn ngữ.
Lỗ hổng đầu tiên có mã định danh CVE-2022-38745, ảnh hưởng đến Apache OpenOffice phiên bản 4.1.13 trở lên. Nó phát sinh khi phần mềm được cấu hình để thêm một mục trống (empty entry) vào đường dẫn lớp Java, dẫn đến việc thực thi mã Java tùy ý.
Việc phát hiện và báo cáo về CVE-2022-38745 đã được thực hiện bởi European Commission’s Open Source Programme Office.
Lỗ hổng thứ hai có mã định danh CVE-2022-47502, là một lỗ hổng nghiêm trọng ảnh hưởng đến Apache OpenOffice phiên bản 4.1.13 trở lên. Nó liên quan đến các tài liệu có chứa các liên kết độc hại. Tuy nhiên, trong các phiên bản OpenOffice bị ảnh hưởng, có khả năng dẫn đến việc thực thi tập lệnh tùy ý mà không có cảnh báo.
Biện pháp giảm nhẹ
Để giảm thiểu CVE-2022-47502, người dùng nên cài đặt Apache OpenOffice 4.1.14 , cung cấp các bản sửa lỗi bảo mật tích lũy và bảo trì mới nhất. Có thể tải xuống bản cập nhật từ trang tải xuống Apache OpenOffice.