Первая уязвимость (CVE-2023-6186) позволяет организовать выполнение произвольного скрипта при нажатии пользователем на специально добавленную в документ ссылку, запускающую встроенные макросы или внутренние команды. В определённых ситуациях можно было добиться отключения показа предварительного предупреждения о совершаемой операции при нажатии на подобные ссылки.
Вторая уязвимость (CVE-2023-6185) позволяет при открытии документа со специально оформленным встроенным видео добиться на платформе Linux выполнения произвольных плагинов к мультимедийному фреймворку Gstreamer. Проблема вызвана отсутствием должного экранирования спецсимволов в имени файла с видео перед обращением к Gstreamer.
Источник: http://www.opennet.ru/opennews/art.shtml?num=60275