Vulnerabilidad en The Document Foundation LibreOffice (CVE-2023-6185)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/12/2023
Última modificación:
31/12/2023
Descripción
Vulnerabilidad de validación de entrada incorrecta en la integración GStreamer de The Document Foundation LibreOffice permite a un atacante ejecutar complementos GStreamer arbitrarios. En las versiones afectadas, el nombre de archivo del vídeo incrustado no se escapa lo suficiente cuando se pasa a GStreamer, lo que permite a un atacante ejecutar complementos arbitrarios de gstreamer dependiendo de qué complementos estén instalados en el sistema de destino.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:libreoffice:libreoffice:*:*:*:*:*:*:*:* | 7.5.0 (incluyendo) | 7.5.9 (excluyendo) |
| cpe:2.3:a:libreoffice:libreoffice:*:*:*:*:*:*:*:* | 7.6.0 (incluyendo) | 7.6.3 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:12.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.debian.org/debian-lts-announce/2023/12/msg00026.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QB7UB6CTWQUDOE657OVVRSDYUY3IPBJG/
- https://www.debian.org/security/2023/dsa-5574
- https://www.libreoffice.org/about-us/security/advisories/cve-2023-6185