CVE-2024-5261 (CVSS 10)：LibreOffice 修补了 LibreOfficeKit 中的严重漏洞

文档基金会是流行开源办公套件 LibreOffice 背后的组织，该组织发布了紧急安全公告，涉及其 LibreOfficeKit 组件中的一个严重漏洞( CVE-2024-5261 )。此漏洞可能允许攻击者拦截或操纵 LibreOffice 与远程服务器之间传输的数据，从而可能泄露敏感信息。

LibreOfficeKit 是一款允许 C/C++ 应用程序访问 LibreOffice 功能的工具，使第三方组件能够利用 LibreOffice 作为文档转换、查看和交互的库。然而，在受影响的 LibreOffice 版本中，当在 LibreOfficeKit 模式下使用时，TLS 认证验证被禁用。具体来说，curl 的选项 CURLOPT_SSL_VERIFYPEER 被设置为 false，从而绕过了通过 LibreOfficeKit 获取的远程资源的关键安全检查。

这一安全漏洞意味着，当 LibreOfficeKit 访问远程资源（例如托管在 Web 服务器上的图像）时，TLS 证书的真实性未得到验证。这一疏忽可能让恶意行为者拦截和操纵这些资源，从而导致潜在的数据泄露和其他安全事件。

OpenSource Security GmbH 代表德国联邦信息安全局发现了该漏洞，并立即向文档基金会报告。修复程序由 allotropia 的 Thorsten Behrens 开发，他是 LibreOffice 项目的长期贡献者。

CVE-2024-5261 漏洞的 CVSSv4 评分为10，这是最高严重性评级，凸显了用户修复漏洞的紧迫性。文档基金会强烈建议升级到 LibreOffice 24.2.4或更高版本，其中包含解决此问题所需的补丁。在修复版本中，curl 在 LibreOfficeKit 模式下运行，并将 CURLOPT_SSL_VERIFYPEER 设置为 true，确保正确验证 TLS 证书，符合标准安全实践。

LibreOffice 24.2.4或更高版本地址:

https://www.libreoffice.org/download/download-libreoffice/

原文始发于微信公众号（独眼情报）：CVE-2024-5261 (CVSS 10)：LibreOffice 修补了 LibreOfficeKit 中的严重漏洞