CRITICAL🇬🇧 English

CVE-2024-5261

LibreOffice LibreOfficeKit — wyłączona weryfikacja certyfikatów TLS

CVSS 10.0v4.0pub. 2024-06-25upd. 2025-12-23

W trybie LibreOfficeKit weryfikacja certyfikatów TLS była całkowicie wyłączona, co umożliwia przeprowadzenie ataku typu man-in-the-middle na połączenia sieciowe. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytyczną dla wszystkich środowisk wykorzystujących LibreOfficeKit jako bibliotekę.

Pokaż oryginał (EN)

Improper Certificate Validation vulnerability in LibreOffice "LibreOfficeKit" mode disables TLS certification verification LibreOfficeKit can be used for accessing LibreOffice functionality through C/C++. Typically this is used by third party components to reuse LibreOffice as a library to convert, view or otherwise interact with documents. LibreOffice internally makes use of "curl" to fetch remote resources such as images hosted on webservers. In affected versions of LibreOffice, when used in LibreOfficeKit mode only, then curl's TLS certification verification was disabled (CURLOPT_SSL_VERIFYPEER of false) In the fixed versions curl operates in LibreOfficeKit mode the same as in standard mode with CURLOPT_SSL_VERIFYPEER of true. This issue affects LibreOffice before version 24.2.4.

🤖 Analiza AI
Jak działa

LibreOffice wewnętrznie korzysta z biblioteki curl do pobierania zdalnych zasobów, takich jak obrazy hostowane na serwerach WWW. W wersjach podatnych, gdy LibreOffice działał w trybie LibreOfficeKit, opcja curl CURLOPT_SSL_VERIFYPEER była ustawiona na false, co oznaczało całkowite pominięcie weryfikacji certyfikatu serwera TLS. Atakujący mający możliwość przeprowadzenia ataku man-in-the-middle mógł podszywać się pod dowolny serwer zdalny bez wykrycia przez aplikację. W poprawionych wersjach tryb LibreOfficeKit działa identycznie jak tryb standardowy — z włączoną opcją CURLOPT_SSL_VERIFYPEER ustawioną na true.

Skutki

Atakujący może przeprowadzić atak man-in-the-middle, przechwytując lub modyfikując zasoby pobierane przez LibreOffice (np. zdalne obrazy), a także potencjalnie wstrzykiwać złośliwą zawartość do przetwarzanych dokumentów. Brak weryfikacji tożsamości serwera naraża poufność i integralność danych przesyłanych przez szyfrowane połączenia TLS.

Mitygacja

Należy zaktualizować LibreOffice do wersji 24.2.4 lub nowszej, w której opcja CURLOPT_SSL_VERIFYPEER jest prawidłowo ustawiona na true również w trybie LibreOfficeKit. Szczegóły dostępne w komunikacie bezpieczeństwa producenta: https://www.libreoffice.org/about-us/security/advisories/cve-2024-5261

Kogo dotyczy

LibreOffice w wersji przed 24.2.4, wyłącznie w trybie LibreOfficeKit (wykorzystywanym przez komponenty zewnętrzne korzystające z LibreOffice jako biblioteki C/C++)

Uwagi

Podatność dotyczy wyłącznie zastosowań LibreOffice jako biblioteki w trybie LibreOfficeKit — standardowe instalacje desktopowe LibreOffice nie są dotknięte tym problemem, o ile nie korzystają z interfejsu LibreOfficeKit.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Libreoffice

    APP
    Libreoffice
    < 24.2.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2019-9855CRITICAL9.8ten sam produkt

LibreOffice is typically bundled with LibreLogo, a programmable turtle vector graphics script, which can execu...

CVE-2019-9851CRITICAL9.8ten sam produkt

LibreOffice is typically bundled with LibreLogo, a programmable turtle vector graphics script, which can execu...

CVE-2019-9850CRITICAL9.8ten sam produkt

LibreOffice is typically bundled with LibreLogo, a programmable turtle vector graphics script, which can execu...

CVE-2019-9848CRITICAL9.8ten sam produkt

LibreOffice has a feature where documents can specify that pre-installed scripts can be executed on various do...

CVE-2018-14939CRITICAL9.8ten sam produkt

The get_app_path function in desktop/unx/source/start.c in LibreOffice through 6.0.5 mishandles the realpath f...