流行的LibreOffice和OpenOffice软件中发现了严重的RCE漏洞

No, I'm not talking about yet another vulnerability in Microsoft Office, but in two other most popular alternatives—办公套件和ApacheOpenOffice—数百万Windows、MacOS和Linux用户使用的免费开源办公软件。

安全研究人员Alex Inführ在这两个开源office套件中发现了一个严重的远程代码执行（RCE）漏洞，只需打开恶意构建的ODT（OpenDocument Text）文件即可触发该漏洞。

该攻击依赖于利用一个名为CVE-2018-16858的目录遍历漏洞，使用隐藏的onmouseover事件自动执行软件中绑定的特定python库。

为了利用此漏洞，Inführ创建了一个带有白色超链接（因此无法看到）的ODT文件，其中包含一个“onmouseover”事件，当受害者将鼠标放在不可见超链接的任何位置时，诱骗受害者在其系统上执行本地可用的python文件。

据研究人员称，LibreOffice自带的python解释器中包含的名为“pydoc.py”的python文件在其参数中接受任意命令，并通过系统的命令行或控制台执行这些命令。

PoC漏洞和视频演示发布

Inführ提供了一个概念验证（PoC）视频演示，展示了他如何诱使事件调用Python文件中的特定函数，最终通过Windows命令行（cmd）执行研究人员的有效负载，而不向用户显示任何警告对话框。
研究人员还发布了该漏洞的PoC攻击代码，并强调，尽管他在微软的Windows操作系统上测试了他的攻击，但它也应该在Linux上工作。

Inführ于去年10月18日向LibreOffice和Apache OpenOffice报告了该漏洞。尽管LibreOffice在当月底发布了LibreOffice 6.0.7/6.1.3，解决了这个问题，但OpenOffice似乎仍然很脆弱。

In mid-November, RedHat assigned the path traversal vulnerability a CVE ID and told the researcher not to disclose the details or PoC of the bug until January 31, 2019.

Inführ于2月1日公布了该漏洞的详细信息和PoC攻击代码，即使Apache OpenOffice 4.1.6（撰写本文时的最新版本）尚未修补。然而，他说他的攻击代码在OpenOffice上不起作用。

Inführ解释说：“Openoffice不允许传递参数；因此，我的PoC不起作用，但路径遍历[仍然]可能被滥用，以便从本地文件系统的另一个位置执行python脚本。”。

在OpenOffice发布安全补丁之前，用户可以删除或重命名pythonscript。安装文件夹中的py文件，以禁用对python的支持。

因此，仅仅抛弃微软Office开发开源办公套件对保护自己免受此类攻击没有多大帮助，除非你采取基本的安全措施。