一、基本情况

Apache OpenOffice是一款类似于微软MS Office软件和WPS的开源办公软件套件，它包含文本文档、电子表格、演示文稿、绘图、数据库等。

二、漏洞描述

启明星辰VSRC监测到Apache发布安全公告，修复了Apache OpenOffice中的任意脚本执行漏洞（CVE-2022-47502）。由于Apache OpenOffice 文档可以通过包含任意参数的链接调用内部宏（通过预定义URL），链接可以通过点击或自动文档事件激活，但需要用户交互，成功触发此类链接可能导致任意脚本执行。

三、影响范围

Apache OpenOffice 版本<= 4.1.13

OpenOffice.org版本也可能受到影响。

四、修复建议

目前该漏洞已经修复，受影响用户可升级到Apache OpenOffice 版本4.1.14。

下载链接：

https://www.openoffice.org/download/

注：Apache OpenOffice 版本4.1.14中还修复了另一个代码执行漏洞（CVE-2022-38745，中危），由于4.1.14 之前的 Apache OpenOffice 版本可能被配置为向 Java 类路径添加一个空条目，可能会导致从当前目录运行任意 Java 代码。

五、参考链接

https://www.openoffice.org/security/cves/CVE-2022-47502.html

https://lists.apache.org/thread/xr6tl91jj2jgcq8pdbrc4d8w13s6xn80