📄 Description (English)
Out-of-bounds write vulnerability in The Document Foundation LibreOffice via crafted OOXML documents with mismatched encryption salt parameters.
This issue affects LibreOffice: from 26.2 before 26.2.3, from 25.8 before 25.8.7.
🤖 AI Executive Summary
CVE-2026-4430 is a high-severity out-of-bounds write vulnerability in LibreOffice affecting versions 26.2 before 26.2.3 and 25.8 before 25.8.7. The vulnerability is triggered through crafted OOXML documents with malformed encryption salt parameters, potentially allowing remote code execution. While no exploit is currently available, the vulnerability poses significant risk to organizations processing untrusted documents.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 12, 2026 01:37
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses significant risk to Saudi government entities (NCA, CITC), banking sector (SAMA-regulated institutions, Al Rajhi, Riyad Bank), and healthcare organizations that rely on LibreOffice for document processing. Government ministries using LibreOffice for official document handling are particularly vulnerable. The vulnerability could enable attackers to compromise systems processing sensitive documents, including classified government communications, financial records, and healthcare data. Energy sector organizations (ARAMCO, SEC) and telecommunications providers (STC, Mobily) using LibreOffice in operational environments face potential system compromise.
🏢 Affected Saudi Sectors
Government
Banking
Healthcare
Energy
Telecommunications
Education
Legal Services
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all systems running LibreOffice versions 26.2.0-26.2.2 and 25.8.0-25.8.6
2. Restrict document processing from untrusted sources until patching is complete
3. Disable automatic document opening in email clients
4. Implement network segmentation for systems processing OOXML documents
PATCHING GUIDANCE:
1. Upgrade LibreOffice to version 26.2.3 or later for 26.2.x branch
2. Upgrade LibreOffice to version 25.8.7 or later for 25.8.x branch
3. Test patches in non-production environment before deployment
4. Prioritize patching for systems handling government/financial documents
COMPENSATING CONTROLS (if patching delayed):
1. Implement application whitelisting for LibreOffice execution
2. Run LibreOffice in sandboxed environments using containers or virtualization
3. Disable OOXML document opening via macro security settings
4. Use document conversion tools (LibreOffice headless mode) with strict input validation
5. Monitor file access patterns for suspicious OOXML processing
DETECTION RULES:
1. Monitor for LibreOffice process crashes when processing OOXML files
2. Alert on OOXML files with unusual encryption salt parameters
3. Track LibreOffice version inventory across enterprise
4. Monitor for unexpected child processes spawned from LibreOffice
5. Log all OOXML document access attempts with source/destination tracking
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع الأنظمة التي تقوم بتشغيل إصدارات LibreOffice 26.2.0-26.2.2 و25.8.0-25.8.6
2. تقييد معالجة المستندات من مصادر غير موثوقة حتى اكتمال التصحيح
3. تعطيل فتح المستندات التلقائي في عملاء البريد الإلكتروني
4. تنفيذ تقسيم الشبكة للأنظمة التي تعالج مستندات OOXML
إرشادات التصحيح:
1. ترقية LibreOffice إلى الإصدار 26.2.3 أو أحدث لفرع 26.2.x
2. ترقية LibreOffice إلى الإصدار 25.8.7 أو أحدث لفرع 25.8.x
3. اختبار التصحيحات في بيئة غير الإنتاج قبل النشر
4. إعطاء الأولوية لتصحيح الأنظمة التي تتعامل مع المستندات الحكومية/المالية
الضوابط البديلة (إذا تأخر التصحيح):
1. تنفيذ قائمة بيضاء للتطبيقات لتنفيذ LibreOffice
2. تشغيل LibreOffice في بيئات معزولة باستخدام الحاويات أو المحاكاة الافتراضية
3. تعطيل فتح مستندات OOXML عبر إعدادات أمان الماكرو
4. استخدام أدوات تحويل المستندات مع التحقق الصارم من المدخلات
5. مراقبة أنماط الوصول إلى الملفات لمعالجة OOXML المريبة
قواعد الكشف:
1. مراقبة أعطال عملية LibreOffice عند معالجة ملفات OOXML
2. التنبيه على ملفات OOXML ذات معاملات ملح تشفير غير عادية
3. تتبع جرد إصدار LibreOffice عبر المؤسسة
4. مراقبة العمليات الفرعية غير المتوقعة التي تم إطلاقها من LibreOffice
5. تسجيل جميع محاولات الوصول إلى مستندات OOXML مع تتبع المصدر/الوجهة
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
A.12.6.1 - Management of technical vulnerabilities
A.14.2.1 - Secure development policy
A.12.2.1 - Monitoring of system use
🔵 SAMA CSF
ID.RA-1 - Asset management and vulnerability identification
PR.IP-12 - Software development and acquisition security
DE.CM-8 - Vulnerability scans
🟡 ISO 27001:2022
A.12.6.1 - Management of technical vulnerabilities
A.14.2.1 - Secure development policy
A.12.2.1 - Monitoring of system use
A.12.3.1 - Event logging
🟣 PCI DSS v4.0.1
6.2 - Security patches and updates
6.5.1 - Injection flaws
11.2 - Vulnerability scanning
📦 Affected Products / CPE 2 entries
libreoffice:libreoffice
libreoffice:libreoffice