The remote Oracle Linux 9 host has packages installed that are affected by multiple vulnerabilities as referenced in the ELSA-2023-0304 advisory.

    [7.1.8.1-8.0.1]
    - Replace colors with Oracle colors [Orabug: 32120093]
    - Build with --with-vendor='Oracle America, Inc.'
    - Added the --with-hamcrest option to configure.

    [1:7.1.8.1-8]
    - Resolves: rhbz#2134759 Untrusted Macros
    - Resolves: rhbz#2134757 Weak Master Keys
    - Resolves: rhbz#2134755 Static Initialization Vector
    - Resolves: rhbz#2134761 Macro URL arbitrary script execution

Tenable has extracted the preceding description block directly from the Oracle Linux security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - LibreOffice supports Office URI Schemes to enable browser integration of LibreOffice with MS SharePoint     server. An additional scheme 'vnd.libreoffice.command' specific to LibreOffice was added. In the affected     versions of LibreOffice links using that scheme could be constructed to call internal macros with     arbitrary arguments. Which when clicked on, or activated by document events, could result in arbitrary     script execution without warning. This issue affects: The Document Foundation LibreOffice 7.4 versions     prior to 7.4.1; 7.3 versions prior to 7.3.6. (CVE-2022-3140)

Note that Nessus relies on the presence of the package as reported by the vendor.

リモートの Debian 11 ホストには、dsa-5252 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - LibreOffice は、Office URI スキームをサポートし、LibreOffice と MS SharePoint サーバーのブラウザ統合を可能にします。LibreOffice に固有の追加スキーム 'vnd.libreoffice.command' が追加されました。影響を受けるバージョンの LibreOffice では、そのスキームを使用するリンクが構築され、内部マクロが任意の引数で呼び出される可能性があります。クリックしたとき、またはドキュメントイベントによってアクティブになったときに、警告なしに任意のスクリプトが実行される可能性があります。この問題の影響を受ける対象:7.4.1より前の Document Foundation LibreOffice 7.4 バージョン; 7.3.6より前の 7.3 バージョン。(CVE-2022-3140)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの SUSE Linux SLED12/ SLED_SAP12 / SLES12 / SLES_SAP12 ホストには、SUSE-SU-2022:3602-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - LibreOffice には、マクロが信頼できる作成者によって署名されているかどうかを、使用される証明書のシリアル番号と発行者文字列を信頼できる証明書のものと照合するだけで判断する、不適切な証明書検証の脆弱性が存在します。これではマクロが実際に証明書で署名されていることを検証するには不十分です。したがって、攻撃者がシリアル番号と信頼できる証明書と同一の発行者文字列を使って任意の証明書を作成し、LibreOffice が信頼できる作成者のものであると提示し、ユーザーが不適切に信頼されたマクロに含まれる任意のコードを実行する可能性があります。この問題の影響を受ける対象:7.2.7より前の Document Foundation LibreOffice 7.2バージョン; 7.3.1より前の 7.3バージョン。(CVE-2022-26305)

  - LibreOffice はユーザーの設定データベースにおける Web 接続のパスワードの保存をサポートしています。
    保存されたパスワードは、ユーザーが提供した単一のマスターキーで暗号化されます。LibreOffice に欠陥が存在し、マスターキーのエンコードが不十分なために、エントロピーが 128 ビットから 43 ビットに弱められ、攻撃者がユーザーの保存済みの設定にアクセスできる場合、保存されているパスワードが総当たり攻撃に対して脆弱になります。この問題の影響を受ける対象:7.2.7より前の Document Foundation LibreOffice 7.2バージョン; 7.3.3より前の 7.3バージョン。(CVE-2022-26307)

  - LibreOffice は、Office URI スキームをサポートし、LibreOffice と MS SharePoint サーバーのブラウザ統合を可能にします。LibreOffice に固有の追加スキーム 'vnd.libreoffice.command' が追加されました。影響を受けるバージョンの LibreOffice では、そのスキームを使用するリンクが構築され、内部マクロが任意の引数で呼び出される可能性があります。クリックしたとき、またはドキュメントイベントによってアクティブになったときに、警告なしに任意のスクリプトが実行される可能性があります。この問題の影響を受ける対象:7.4.1より前の Document Foundation LibreOffice 7.4バージョン; 7.3.6より前の 7.3バージョン。(CVE-2022-3140)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのAlmaLinux 8ホストには、ALSA-2023:0089アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - LibreOffice は、Office URI スキームをサポートし、LibreOffice と MS SharePoint サーバーのブラウザ統合を可能にします。LibreOffice に固有の追加スキーム 'vnd.libreoffice.command' が追加されました。影響を受けるバージョンの LibreOffice では、そのスキームを使用するリンクが構築され、内部マクロが任意の引数で呼び出される可能性があります。クリックしたとき、またはドキュメントイベントによってアクティブになったときに、警告なしに任意のスクリプトが実行される可能性があります。この問題の影響を受ける対象: 7.4.1 より前の Document Foundation LibreOffice 7.4 バージョン; 7.3.6 より前の 7.3 バージョン。(CVE-2022-3140)

  - LibreOffice には、マクロが信頼できる作成者によって署名されているかどうかを、使用される証明書のシリアル番号と発行者文字列を信頼できる証明書のものと照合するだけで判断する、不適切な証明書検証の脆弱性が存在します。これではマクロが実際に証明書で署名されていることを検証するには不十分です。したがって、攻撃者がシリアル番号と信頼できる証明書と同一の発行者文字列を使って任意の証明書を作成し、LibreOffice が信頼できる作成者のものであると提示し、ユーザーが不適切に信頼されたマクロに含まれる任意のコードを実行する可能性があります。この問題の影響を受ける対象: 7.2.7 より前の Document Foundation LibreOffice 7.2 バージョン; 7.3.1 より前の 7.3 バージョン。(CVE-2022-26305)

  - LibreOffice はユーザーの設定データベースにおける Web 接続のパスワードの保存をサポートしています。
    保存されたパスワードは、ユーザーが提供した単一のマスターキーで暗号化されます。LibreOffice に欠陥が存在し、暗号化に必要な初期化ベクトルが常に同じであったため、攻撃者がユーザーの設定データにアクセスできる場合、暗号化のセキュリティが弱められ、脆弱になりました。この問題の影響を受ける対象: 7.2.7 より前の Document Foundation LibreOffice 7.2 バージョン; 7.3.1 より前の 7.3 バージョン。(CVE-2022-26306)

  - LibreOffice はユーザーの設定データベースにおける Web 接続のパスワードの保存をサポートしています。
    保存されたパスワードは、ユーザーが提供した単一のマスターキーで暗号化されます。LibreOffice に欠陥が存在し、マスターキーのエンコードが不十分なために、エントロピーが 128 ビットから 43 ビットに弱められ、攻撃者がユーザーの保存済みの設定にアクセスできる場合、保存されているパスワードが総当たり攻撃に対して脆弱になります。この問題の影響を受ける対象: 7.2.7 より前の Document Foundation LibreOffice 7.2 バージョン; 7.3.3 より前の 7.3 バージョン。(CVE-2022-26307)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Oracle Linux 9 ホストに、ELSA-2023-0304アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - LibreOffice は、Office URI スキームをサポートし、LibreOffice と MS SharePoint サーバーのブラウザ統合を可能にします。LibreOffice に固有の追加スキーム 'vnd.libreoffice.command' が追加されました。影響を受けるバージョンの LibreOffice では、そのスキームを使用するリンクが構築され、内部マクロが任意の引数で呼び出される可能性があります。クリックしたとき、またはドキュメントイベントによってアクティブになったときに、警告なしに任意のスクリプトが実行される可能性があります。この問題の影響を受ける対象:7.4.1より前の Document Foundation LibreOffice 7.4バージョン; 7.3.6より前の 7.3バージョン。(CVE-2022-3140)

  - LibreOffice はユーザーの構成データベースにおける Web 接続のパスワードの保存をサポートしています。
    保存されたパスワードは、ユーザーが提供した単一のマスターキーで暗号化されます。LibreOffice に欠陥が存在し、マスターキーのエンコードが不十分なために、エントロピーが 128 ビットから 43 ビットに弱められ、攻撃者がユーザーの保存済みの構成にアクセスできる場合、保存されているパスワードが総当たり攻撃に対して脆弱になります。この問題の影響を受ける対象:7.2.7より前の Document Foundation LibreOffice 7.2バージョン; 7.3.3より前の 7.3バージョン。(CVE-2022-26307)

  - LibreOffice には、マクロが信頼できる作成者によって署名されているかどうかを、使用される証明書のシリアル番号と発行者文字列を信頼できる証明書のものと照合するだけで判断する、不適切な証明書検証の脆弱性が存在します。これではマクロが実際に証明書で署名されていることを検証するには不十分です。したがって、攻撃者がシリアル番号と信頼できる証明書と同一の発行者文字列を使って任意の証明書を作成し、LibreOffice が信頼できる作成者のものであると提示し、ユーザーが不適切に信頼されたマクロに含まれる任意のコードを実行する可能性があります。この問題の影響を受ける対象:7.2.7より前の Document Foundation LibreOffice 7.2バージョン; 7.3.1より前の 7.3バージョン。(CVE-2022-26305)

  - LibreOffice はユーザーの構成データベースにおける Web 接続のパスワードの保存をサポートしています。
    保存されたパスワードは、ユーザーが提供した単一のマスターキーで暗号化されます。LibreOffice に欠陥が存在し、暗号化に必要な初期化ベクトルが常に同じであったため、攻撃者がユーザーの構成データにアクセスできる場合、暗号化のセキュリティが弱められ、脆弱になりました。この問題の影響を受ける対象:7.2.7より前の Document Foundation LibreOffice 7.2バージョン; 7.3.1より前の 7.3バージョン。(CVE-2022-26306)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - LibreOffice は、Office URI スキームをサポートし、LibreOffice と MS SharePoint サーバーのブラウザ統合を可能にします。LibreOffice に固有の追加スキーム 'vnd.libreoffice.command' が追加されました。影響を受けるバージョンの LibreOffice では、そのスキームを使用するリンクが構築され、内部マクロが任意の引数で呼び出される可能性があります。クリックしたとき、またはドキュメントイベントによってアクティブになったときに、警告なしに任意のスクリプトが実行される可能性があります。この問題の影響を受ける対象: 7.4.1 より前の Document Foundation LibreOffice 7.4 バージョン; 7.3.6 より前の 7.3 バージョン。(CVE-2022-3140)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

The remote SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 host has packages installed that are affected by multiple vulnerabilities as referenced in the SUSE-SU-2022:3650-1 advisory.

  - An Improper Certificate Validation vulnerability in LibreOffice existed where determining if a macro was     signed by a trusted author was done by only matching the serial number and issuer string of the used     certificate with that of a trusted certificate. This is not sufficient to verify that the macro was     actually signed with the certificate. An adversary could therefore create an arbitrary certificate with a     serial number and an issuer string identical to a trusted certificate which LibreOffice would present as     belonging to the trusted author, potentially leading to the user to execute arbitrary code contained in     macros improperly trusted. This issue affects: The Document Foundation LibreOffice 7.2 versions prior to     7.2.7; 7.3 versions prior to 7.3.1. (CVE-2022-26305)

  - LibreOffice supports the storage of passwords for web connections in the user's configuration database.
    The stored passwords are encrypted with a single master key provided by the user. A flaw in LibreOffice     existed where master key was poorly encoded resulting in weakening its entropy from 128 to 43 bits making     the stored passwords vulerable to a brute force attack if an attacker has access to the users stored     config. This issue affects: The Document Foundation LibreOffice 7.2 versions prior to 7.2.7; 7.3 versions     prior to 7.3.3. (CVE-2022-26307)

  - LibreOffice supports Office URI Schemes to enable browser integration of LibreOffice with MS SharePoint     server. An additional scheme 'vnd.libreoffice.command' specific to LibreOffice was added. In the affected     versions of LibreOffice links using that scheme could be constructed to call internal macros with     arbitrary arguments. Which when clicked on, or activated by document events, could result in arbitrary     script execution without warning. This issue affects: The Document Foundation LibreOffice 7.4 versions     prior to 7.4.1; 7.3 versions prior to 7.3.6. (CVE-2022-3140)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The remote Redhat Enterprise Linux 8 host has packages installed that are affected by multiple vulnerabilities as referenced in the RHSA-2023:0089 advisory.

    LibreOffice is an open source, community-developed office productivity suite. It includes key desktop     applications, such as a word processor, a spreadsheet, a presentation manager, a formula editor, and a     drawing program. LibreOffice replaces OpenOffice and provides a similar but enhanced and extended office     suite.

    Security Fix(es):

    * libreoffice: Macro URL arbitrary script execution (CVE-2022-3140)

    * libreoffice: Execution of Untrusted Macros Due to Improper Certificate Validation (CVE-2022-26305)

    * libreoffice: Static Initialization Vector Allows to Recover Passwords for Web Connections Without     Knowing the Master Password (CVE-2022-26306)

    * libreoffice: Weak Master Keys (CVE-2022-26307)

    For more details about the security issue(s), including the impact, a CVSS score, acknowledgments, and     other related information, refer to the CVE page(s) listed in the References section.

Tenable has extracted the preceding description block directly from the Red Hat Enterprise Linux security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The remote Oracle Linux 8 host has packages installed that are affected by multiple vulnerabilities as referenced in the ELSA-2023-0089 advisory.

    - Resolves: rhbz#2134752 CVE-2022-26305 Untrusted Macros
    - Resolves: rhbz#2134751 CVE-2022-26307 Weak Master Keys
    - Resolves: rhbz#2134750 CVE-2022-26306 Static Initialization Vector

Tenable has extracted the preceding description block directly from the Oracle Linux security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The remote Debian 10 host has packages installed that are affected by multiple vulnerabilities as referenced in the dla-3368 advisory.

    - -------------------------------------------------------------------------     Debian LTS Advisory DLA-3368-1                debian-lts@lists.debian.org     https://www.debian.org/lts/security/                    Bastien Roucaries     March 26, 2023                                https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    Package        : libreoffice     Version        : 1:6.1.5-3+deb10u8     CVE ID         : CVE-2021-25636 CVE-2022-3140 CVE-2022-26305 CVE-2022-26306                      CVE-2022-26307

    Multiple vulnerabilities were found in LibreOffice an     office productivity software suite, leading to arbitrary script     execution, improper certificate validation, and weak encryption     of password storage in the user??s configuration database.

    CVE-2021-25636

        Only use X509Data         LibreOffice supports digital signatures of ODF documents and macros         within documents, presenting visual aids that no alteration of the         document occurred since the last signing and that the signature is         valid. An Improper Certificate Validation vulnerability in LibreOffice         allowed an attacker to create a digitally signed ODF document, by         manipulating the documentsignatures.xml or macrosignatures.xml stream         within the document to contain both X509Data and KeyValue children         of the KeyInfo tag, which when opened caused LibreOffice to verify         using the KeyValue but to report verification with the unrelated         X509Data value.

    CVE-2022-3140

        Insufficient validation of vnd.libreoffice.command         URI schemes. LibreOffice supports Office URI Schemes to enable browser         integration of LibreOffice with MS SharePoint server. An additional         scheme 'vnd.libreoffice.command' specific to LibreOffice was added. In         the affected versions of LibreOffice links using that scheme could be         constructed to call internal macros with arbitrary arguments. Which         when clicked on, or activated by document events, could result in         arbitrary script execution without warning.

    CVE-2022-26305

        Compare authors using Thumbprint         An Improper Certificate Validation vulnerability in LibreOffice         existed where determining if a macro was signed by a trusted author         was done by only matching the serial number and issuer string of the         used certificate with that of a trusted certificate. This is not         sufficient to verify that the macro was actually signed with the         certificate. An adversary could therefore create an arbitrary         certificate with a serial number and an issuer string identical to a         trusted certificate which LibreOffice would present as belonging to         the trusted author, potentially leading to the user to execute         arbitrary code contained in macros improperly trusted.

    CVE-2022-26306

        LibreOffice supports the storage of passwords for         web connections in the user??s configuration database. The stored         passwords are encrypted with a single master key provided by the         user. A flaw in LibreOffice existed where the required initialization         vector for encryption was always the same which weakens the security         of the encryption making them vulnerable if an attacker has access to         the user's configuration data

    CVE-2022-26307

        Add Initialization Vectors to password storage.
        LibreOffice supports the storage of passwords for web connections in         the user??s configuration database. The stored passwords are encrypted         with a single master key provided by the user. A flaw in LibreOffice         existed where master key was poorly encoded resulting in weakening its         entropy from 128 to 43 bits making the stored passwords vulerable to a         brute force attack if an attacker has access to the users stored         config.

    For Debian 10 buster, these problems have been fixed in version     1:6.1.5-3+deb10u8.

    We recommend that you upgrade your libreoffice packages.

    For the detailed security status of libreoffice please refer to     its security tracker page at:
    https://security-tracker.debian.org/tracker/libreoffice

    Further information about Debian LTS security advisories, how to apply     these updates to your system and frequently asked questions can be     found at: https://wiki.debian.org/LTS

Tenable has extracted the preceding description block directly from the Debian security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The remote Alibaba Cloud Linux 3 host has packages installed that are affected by multiple vulnerabilities as referenced in the ALINUX3-SA-2024:0072 advisory.

    Package updates are available for Alibaba Cloud Linux 3 that fix the following vulnerabilities:

    CVE-2022-26305:
    An Improper Certificate Validation vulnerability in LibreOffice existed where determining if a macro was     signed by a trusted author was done by only matching the serial number and issuer string of the used     certificate with that of a trusted certificate. This is not sufficient to verify that the macro was     actually signed with the certificate. An adversary could therefore create an arbitrary certificate with a     serial number and an issuer string identical to a trusted certificate which LibreOffice would present as     belonging to the trusted author, potentially leading to the user to execute arbitrary code contained in     macros improperly trusted. This issue affects: The Document Foundation LibreOffice 7.2 versions prior to     7.2.7; 7.3 versions prior to 7.3.1.

    CVE-2022-26306:
    LibreOffice supports the storage of passwords for web connections in the users configuration database.
    The stored passwords are encrypted with a single master key provided by the user. A flaw in LibreOffice     existed where the required initialization vector for encryption was always the same which weakens the     security of the encryption making them vulnerable if an attacker has access to the user's configuration     data. This issue affects: The Document Foundation LibreOffice 7.2 versions prior to 7.2.7; 7.3 versions     prior to 7.3.1.

    CVE-2022-26307:
    LibreOffice supports the storage of passwords for web connections in the users configuration database.
    The stored passwords are encrypted with a single master key provided by the user. A flaw in LibreOffice     existed where master key was poorly encoded resulting in weakening its entropy from 128 to 43 bits making     the stored passwords vulerable to a brute force attack if an attacker has access to the users stored     config. This issue affects: The Document Foundation LibreOffice 7.2 versions prior to 7.2.7; 7.3 versions     prior to 7.3.3.

    CVE-2022-3140:
    LibreOffice supports Office URI Schemes to enable browser integration of LibreOffice with MS SharePoint     server. An additional scheme 'vnd.libreoffice.command' specific to LibreOffice was added. In the affected     versions of LibreOffice links using that scheme could be constructed to call internal macros with     arbitrary arguments. Which when clicked on, or activated by document events, could result in arbitrary     script execution without warning. This issue affects: The Document Foundation LibreOffice 7.4 versions     prior to 7.4.1; 7.3 versions prior to 7.3.6.

    CVE-2022-38745:
    Apache OpenOffice versions before 4.1.14 may be configured to add an empty entry to the Java class path.
    This may lead to run arbitrary Java code from the current directory.

    CVE-2023-0950:
    Improper Validation of Array Index vulnerability in the spreadsheet component of The Document Foundation     LibreOffice allows an attacker to craft a spreadsheet document that will cause an array index underflow     when loaded. In the affected versions of LibreOffice certain malformed spreadsheet formulas, such as     AGGREGATE, could be created with less parameters passed to the formula interpreter than it expected,     leading to an array index underflow, in which case there is a risk that arbitrary code could be executed.
    This issue affects: The Document Foundation LibreOffice 7.4 versions prior to 7.4.6; 7.5 versions prior to     7.5.1.

    CVE-2023-1183:
    A flaw was found in the Libreoffice package. An attacker can craft an odb containing a database/script     file with a SCRIPT command where the contents of the file could be written to a new file whose location     was determined by the attacker.

    CVE-2023-2255:
    Improper access control in editor components of The Document Foundation LibreOffice allowed an attacker to     craft a document that would cause external links to be loaded without prompt. In the affected versions of     LibreOffice documents that used floating frames linked to external files, would load the contents of     those frames without prompting the user for permission to do so. This was inconsistent with the treatment     of other linked content in LibreOffice. This issue affects: The Document Foundation LibreOffice 7.4     versions prior to 7.4.7; 7.5 versions prior to 7.5.3.

Tenable has extracted the preceding description block directly from the Alibaba Cloud Linux security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

ID	Name	Product	Family	Published	Updated	Severity
170516	Oracle Linux 9 : libreoffice (ELSA-2023-0304)	Nessus	Oracle Linux Local Security Checks	1/24/2023	11/1/2024	high
224780	Linux Distros Unpatched Vulnerability : CVE-2022-3140	Nessus	Misc.	3/5/2025	10/28/2025	medium
166093	Debian DSA-5252-1: libreoffice - セキュリティ更新	Nessus	Debian Local Security Checks	10/13/2022	6/1/2023	medium
166186	SUSE SLED12/ SLES12 セキュリティ更新プログラム: libreoffice (SUSE-SU-2022:3602-1 )	Nessus	SuSE Local Security Checks	10/18/2022	7/13/2023	high
170049	AlmaLinux 8libreofficeALSA-2023:0089	Nessus	Alma Linux Local Security Checks	1/14/2023	1/14/2023	high
170516	Oracle Linux 9: libreoffice (ELSA-2023-0304 )	Nessus	Oracle Linux Local Security Checks	1/24/2023	11/1/2024	high
224780	Linux Distros のパッチ未適用の脆弱性: CVE-2022-3140	Nessus	Misc.	3/5/2025	10/28/2025	medium
166246	SUSE SLED15 / SLES15 Security Update : libreoffice (SUSE-SU-2022:3650-1)	Nessus	SuSE Local Security Checks	10/19/2022	7/13/2023	high
169961	RHEL 8 : libreoffice (RHSA-2023:0089)	Nessus	Red Hat Local Security Checks	1/12/2023	11/7/2024	high
170117	Oracle Linux 8 : libreoffice (ELSA-2023-0089)	Nessus	Oracle Linux Local Security Checks	1/18/2023	11/2/2024	high
173416	Debian dla-3368 : fonts-opensymbol - security update	Nessus	Debian Local Security Checks	3/26/2023	1/22/2025	high
236157	Alibaba Cloud Linux 3 : 0072: libreoffice (ALINUX3-SA-2024:0072)	Nessus	Alibaba Cloud Linux Local Security Checks	5/14/2025	5/14/2025	high

Detections

Analytics

Plugins Search

high

medium

medium

high

high

high

medium

high

high

high

high

high