خانه » CVE-2024-12425
هشدار‌های امنیت سایبری

CVE-2024-12425

مسیر پیمایش (Path Traversal) که منجر به نوشتن فایل .ttf در مکان دلخواه می‌شود

توسط Vulnerbyte_Alerts
نوشته شده توسط Vulnerbyte_Alerts
  • شناسه CVE-2024-12425 :CVE
  • CWE-22 :CWE
  • yes :Advisory
  • منتشر شده: ژانویه 7, 2025
  • به روز شده: ژانویه 7, 2025
  • امتیاز: 2.4
  • نوع حمله:  T1006
  • اثر گذاری: Path Traversal
  • حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
  • برند: The Document Foundation
  • محصول: LibreOffice
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در LibreOffice از بخش مستندات (The Document Foundation) تا نسخه 24.8.3 شناسایی شده است. این آسیب‌پذیری منجر به Path Traversal (مسیر عبور)می‌شود. این آسیب‌پذیری با شناسه CVE-2024-12425 ثبت شده است.

حمله می‌تواند از راه دور انجام شود. توصیه می‌شود که بخش آسیب‌دیده را به نسخه‌ی جدیدتر ارتقا دهید.

توضیحات

بر اساس CWE-22، این آسیب‌پذیری زمانی رخ می‌دهد که محصول از ورودی‌های خارجی برای ساخت مسیر فایل استفاده می‌کند، اما به درستی عناصر خاص مسیر را خنثی نمی‌کند، که می‌تواند باعث شود مسیر به محلی خارج از دایرکتوری محدود شده ارجاع شود. این آسیب‌پذیری بر محرمانگی، یکپارچگی و دسترسی‌پذیری تأثیر می‌گذارد.

آسیب‌پذیری محدودیت نادرست مسیر به دایرکتوری‌های محدود (‘Path Traversal’) در LibreOffice اجازه می‌دهد که به صورت مطلق به مسیرهای مختلف دسترسی پیدا کنید. یک مهاجم می‌تواند با ارائه یک فایل در فرمت‌هایی که از فایل‌های فونت (با پسوند “.ttf”)، دسترسی نوشتن را بدست آورد. این آسیب‌پذیری بر نسخه‌های LibreOffice از 24.8 قبل از 24.8.4 تأثیر می‌گذارد.

اکسپلویت این آسیب پذیری آسان است. حمله می‌تواند از راه دور انجام شود و برای اکسپلویت نیازی به احراز هویت نیست. تنها چیزی که نیاز است، تعامل کاربر و قربانی است.

این آسیب‌پذیری در MITRE ATT&CK تحت تکنیک T1006 شناخته شده است.

CVSS

Score Severity Version Vector String
2.4 LOW 3.1 CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

 لیست محصولات آسیب پذیر

Versions Product
affected from 24.8 before < 24.8.4 LibreOffice

 لیست محصولات بروز شده

Versions Product
24.8.4 LibreOffice

نتیجه گیری

بروزرسانی به نسخه 24.8.4 این مشکل را برطرف می کند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2024-12425
  2. https://www.cvedetails.com/cve/CVE-2024-12425/
  3. https://www.libreoffice.org/about-us/security/advisories/cve-2024-12425
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-12425
  5. https://vuldb.com/?id.290553
  6. https://nvd.nist.gov/vuln/detail/CVE-2024-12425
  7. https://cwe.mitre.org/data/definitions/22.html

همچنین ممکن است دوست داشته باشید

CVE-2025-21279

CVE-2025-22632

CVE-2025-21383

CVE-2025-27012

CVE-2025-27109

CVE-2025-24989

CVE-2025-21355

CVE-2025-1426

CVE-2025-1006

CVE-2025-0999

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.