| タイトル | LibreOfficeKitモードにおけるTLS証明書検証不備によるリモートからの不正アクセスが可能となる脆弱性 |
|---|---|
| 概要 | LibreOfficeのLibreOfficeKitモードでは証明書検証が正しく行われず、TLS証明書の検証が無効化される脆弱性が存在します。LibreOfficeKitは、サードパーティソフトウェアがLibreOfficeの機能をライブラリとして利用できる仕組みであり、文書の変換や表示などに利用されています。LibreOfficeは、内部でcurlを利用してウェブ上の画像などのリソースを取得していますが、影響を受けるバージョンではLibreOfficeKitモードのみで証明書検証が無効になっていました。修正バージョンでは証明書検証が有効になり、この問題は解消されています。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年6月25日0:00 |
| 登録日 | 2025年12月25日17:18 |
| 最終更新日 | 2025年12月25日17:18 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| LibreOffice プロジェクト |
| LibreOffice 24.2.4 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2025年12月25日] 掲載 |
2025年12月25日17:18 |
| 概要 | Improper Certificate Validation vulnerability in LibreOffice "LibreOfficeKit" mode disables TLS certification verification LibreOfficeKit can be used for accessing LibreOffice functionality LibreOffice internally makes use of "curl" to fetch remote resources such as images hosted on webservers. In In the fixed versions curl operates in LibreOfficeKit mode the same as in standard mode with CURLOPT_SSL_VERIFYPEER of true. This issue affects LibreOffice before version 24.2.4. |
|---|---|
| 公表日 | 2024年6月25日22:15 |
| 登録日 | 2024年6月26日10:00 |
| 最終更新日 | 2024年11月21日18:47 |