Een kwetsbaarheid in Apache OpenOffice maakt het uitvoeren van code op afstand mogelijk. Hoewel het lek gedicht wordt met een bèta-update, is er nog geen officiële patch uitgebracht voor het beveiligingslek door de maker van het office-pakket.
De kwetsbaarheid CVE-2021-33035 werd ontdekt door beveiligingsonderzoeker Eugene Lim. Op zijn Twitter-account laat hij zien hoe hij het beveiligingslek kan misbruiken. Via het lek kan malware op afstand worden geïnstalleerd op de computer van het slachtoffer. Het is niet bekend of het lek actief is misbruikt door kwaadwillenden, maar nu het lek openbaar is gemaakt, zijn gebruikers van Apache OpenOffice kwetsbaar.
In een blog heeft Lim beschreven hoe hij de kwetsbaarheid ontdekte. Daarin schrijft hij ook dat het lek sinds 5 mei bekend was bij Apache Open Office. Hij verbaast zich er over dat de bug zo lang onopgemerkt kon blijven in software die vrij beschikbaar is en door miljoenen mensen wordt gebruikt.
Tegenover The Register heeft een woordvoerder van Apache OpenOffice laten weten dat ze hopen dat ze de update 'nog binnen deze maand kunnen uitrollen'. Op dit moment is een versie waarin het beveiligingslek is gedicht wel beschikbaar als bèta, maar zoals OpenOffice op zijn website schrijft 'kan deze nog fouten bevatten'. Als later deze maand Apache OpenOffice 4.1.11 verschijnt, moet het lek officieel gedicht worden.