在 CentOS 系统上部署的 LibreOffice 办公套件,近期被曝出多个值得警惕的安全漏洞。这些漏洞的共性在于均与宏执行机制相关,攻击者可能利用它们绕过安全限制,在系统中执行未经授权的脚本或命令。下面逐一拆解这几个问题。
- CVE-2025-1080:该漏洞的核心在于宏 URL 的处理流程存在缺陷。攻击者通过精心构造宏 URL,可以绕过既定安全协议,直接执行任意脚本。具体来说,问题出在
vnd.libreoffice.commandURI方案中,嵌套的 URL 组件在解析时未进行充分清理,给恶意构造留下了可乘之机。 - CVE-2019-9852:这是一个因 URL 编码缺陷导致的安全隐患。攻击者可以利用 URL 编码攻击,绕过脚本位置检查,从而执行本应被禁止的预安装宏。换句话说,系统原本对宏来源的校验机制,在特定编码形式下形同虚设。
- CVE-2019-9853:与上一个漏洞类似,但问题出在 URL 解码环节。该缺陷使得宏执行能够绕过安全设置,攻击者可能借此注入恶意命令或篡改数据。两个漏洞叠加,意味着单纯依靠编码检查来防御宏攻击已经不再可靠。
对于使用 CentOS 并部署了 LibreOffice 的团队,建议尽快评估这些漏洞的影响范围,并密切关注官方补丁的发布动态。安全配置的加固、宏来源的严格管控,以及必要的网络隔离,都是当前阶段需要同步考虑的措施。
