近日，国家信息安全漏洞库（CNNVD）收到关于Apache OpenOffice参数注入漏洞（CNNVD-202303-1952、CVE-2022-47502）情况的报送。成功利用漏洞的攻击者，可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。  

一、漏洞介绍

Apache OpenOffice是美国阿帕奇（Apache）基金会的一款开源的办公软件套件,该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。由于ApacheOpenOffice文档内可通过含有任意参数的链接调用内部宏，恶意攻击者通过修改特殊URI Scheme构造恶意链接调用宏，当用户点击链接或通过自动文档事件激活时，会导致覆盖掉文档中现有宏的代码,从而执行任意代码。  

二、危害影响

成功利用漏洞的攻击者，可在目标系统执行任意代码。Apache OpenOffice4.1.13及其以下版本均受此漏洞影响。

三、修复建议

目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方下载链接：

https://www.openoffice.org/download/

 

（来源：国家信息安全漏洞库）