Apache OpenOffice任意脚本执行漏洞（CVE-2022-47502）

Apache OpenOffice是一款类似于微软MS Office软件和WPS的开源办公软件套件，它包含文本文档、电子表格、演示文稿、绘图、数据库等。

3月27日，启明星辰VSRC监测到Apache发布安全公告，修复了Apache OpenOffice中的任意脚本执行漏洞（CVE-2022-47502）。由于Apache OpenOffice 文档可以通过包含任意参数的链接调用内部宏（通过预定义URL），链接可以通过点击或自动文档事件激活，但需要用户交互，成功触发此类链接可能导致任意脚本执行。

二、影响范围

Apache OpenOffice 版本<= 4.1.13

OpenOffice.org版本也可能受到影响。

三、安全措施

3.1 升级版本

目前该漏洞已经修复，受影响用户可升级到Apache OpenOffice 版本4.1.14。

下载链接：

https://www.openoffice.org/download/

注：Apache OpenOffice 版本4.1.14中还修复了另一个代码执行漏洞（CVE-2022-38745，中危），由于4.1.14 之前的 Apache OpenOffice 版本可能被配置为向 Java 类路径添加一个空条目，可能会导致从当前目录运行任意 Java 代码。

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://www.openoffice.org/security/cves/CVE-2022-47502.html

https://lists.apache.org/thread/xr6tl91jj2jgcq8pdbrc4d8w13s6xn80

https://lists.apache.org/thread/q3noq7m681kvtb29m28x74q8cnwnzzo0

原文始发于微信公众号（维他命安全）：【漏洞通告】Apache OpenOffice任意脚本执行漏洞（CVE-2022-47502）