LibreOffice CVE-2025-1080 – Macro URL Arbitrary Script Execution

Am 4. März 2025 wurde die kritische Sicherheitslücke CVE-2025-1080 in LibreOffice bekannt, die es ermöglicht, interne Makros mit beliebigen Argumenten auszuführen. Die Schwachstelle betrifft die Unterstützung von Office URI-Schemata, die zur Integration mit Microsoft SharePoint dienen. Durch das neu eingeführte Schema „vnd.libreoffice.command“ konnten Angreifer speziell präparierte Browser-Links erstellen, die beim Öffnen in LibreOffice die Ausführung von Makros auslösen.

Die Lücke wurde in den Versionen vor LibreOffice 24.8.5 und 25.2.1 festgestellt und in den genannten Versionen behoben. Benutzer werden dringend aufgefordert, auf diese oder neuere Versionen zu aktualisieren, um das Risiko einer Ausnutzung zu minimieren.

Related Posts

Laravel Reflected XSS via Route- und Request-Parameter in Debug-Mode Error Page

Der beliebte PHP Framework Laravel ist in den Versionen zwischen 11.9.0 und 11.35.1 von zwei kritischen Reflected Cross-Site Scripting (XSS)-Schwachstellen betroffen. Beide Schwachstellen treten im Debug-Modus (APP_DEBUG=true) auf, wenn ein HTTP-Fehler (5XX) generiert wird. Dabei werden entweder Route-Parameter oder Request-Parameter unzureichend encoded und direkt in die Fehlerseite eingebettet, was es Angreifern ermöglicht, schadhaften JavaScript-Code in den Browser des Benutzers einzuschleusen.

Read More

SAP patcht zahlreiche Schwachstellen gegen XSS und RCE

SAP hat seine neuesten Sicherheitsupdates vorgestellt, die 21 neue Schwachstellen beheben und drei bereits veröffentlichte Security Notes aktualisieren. Unter den prioritären Fixes befindet sich eine schwerwiegende Cross-Site Scripting (XSS)-Schwachstelle in der Swagger UI von SAP Commerce (CVE-2025-27434, CVSS 8.8) sowie ein fehlender Berechtigungscheck im ABAP Class Builder von SAP NetWeaver (CVE-2025-26661, CVSS 8.8).

Read More

Node.js xml-crypto: XML-Signatur-Verification Bypass via Multiple SignedInfo References

Die kritische Sicherheitslücke CVE-2025-29774 wurde in der npm-Bibliothek xml-crypto entdeckt, die Versionen <= 6.0.0 betrifft. Durch das Einfügen mehrerer SignedInfo-Knoten in einem XML-Signaturblock kann ein Angreifer eine gültig signierte XML-Nachricht so manipulieren, dass sie dennoch die Signaturprüfung besteht. Dies ermöglicht das Umgehen von Authentifizierungs- und Autorisierungsmechanismen, was unter Umständen zu Privilegieneskalationen oder Identitätsübernahmen führen kann.

Read More