خانه » CVE-2024-12426
هشدار‌های امنیت سایبری

CVE-2024-12426

استفاده از بازیابی URL برای استخراج مقادیر دلخواه فایل‌های INI و متغیرهای محیطی

توسط Vulnerbyte_Alerts
نوشته شده توسط Vulnerbyte_Alerts
  • شناسه CVE-2024-12426 :CVE
  • CWE-200 :CWE
  • yes :Advisory
  • منتشر شده: ژانویه 7, 2025
  • به روز شده: ژانویه 7, 2025
  • امتیاز: 6.7
  • نوع حمله:  T1592
  • اثر گذاری: Information Disclosure
  • حوزه: نرم افزارهای کاربردی
  • برند: The Document Foundation
  • محصول: LibreOffice
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در LibreOffice تا نسخه 24.8.3 شناسایی شده است. این آسیب‌پذیری بر بخشی از عملکرد ناشناخته در Environmental Variable Handler تأثیر می‌گذارد. ایجاد تغییرات در این بخش منجر به افشای اطلاعات می‌شود. این آسیب‌پذیری با شناسه CVE-2024-12426 ثبت شده است. برای اکسپلویت این آسیب‌پذیری، دسترسی محلی نیاز است. پیشنهاد می‌شود که نرم افزار به نسخه 24.8.4 ارتقا داده شود.

توضیحات

آسیب‌پذیری افشای متغیرهای محیطی و مقادیر دلخواه فایل‌های INI (فایل‌هایی متنی که برای ذخیره‌سازی تنظیمات و اطلاعات پیکربندی نرم‌افزارها استفاده می‌شوند) در LibreOffice شناسایی شده است. در اثر این آسیب پذیری URLهایی می‌توانند ساخته شوند که متغیرهای محیطی یا مقادیر فایل‌های INI را گسترش دهند، به طوری که اطلاعات حساس ممکن است در صورت باز کردن سندی که حاوی چنین لینک است‌، به یک سرور از راه دور ارسال شوند. این آسیب‌پذیری بر نسخه‌های LibreOffice از 24.8 تا 24.8.3 تأثیر می‌گذارد.

حمله محلی برای اکسپلویت این آسیب پذیری ضروری است. تکنیک حمله‌ای که توسط این آسیب‌پذیری استفاده می‌شود، طبق MITRE ATT&CK، T1592 است.

طبق تعریف CWE-200، این آسیب‌پذیری زمانی رخ می‌دهد که محصول اطلاعات حساس را به یک مهاجم که مجوز دسترسی به آن اطلاعات را ندارد، افشا می‌کند. این آسیب‌پذیری بر محرمانگی (Confidentiality) تأثیر می‌گذارد.

اسکنر آسیب‌پذیری Nessus یک پلاگین با شناسه 214314 (LibreOffice 24.8.x < 24.8.4 Multiple vulnerabilities) فراهم می‌کند که به شناسایی وجود این آسیب‌پذیری در محیط هدف کمک می‌کند.

CVSS

Score Severity Version Vector String
6.7 MEDIUM 3.1 CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N

 لیست محصولات آسیب پذیر

Versions Product
affected from 24.8 before < 24.8.4 LibreOffice

 لیست محصولات بروز شده

Versions Product
24.8.4 LibreOffice

نتیجه گیری

ارتقا نرم افزار به نسخه 24.8.4 این آسیب‌پذیری را برطرف می‌کند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2024-12426
  2. https://www.cvedetails.com/cve/CVE-2024-12426/
  3. https://www.libreoffice.org/about-us/security/advisories/cve-2024-12426
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-12426
  5. https://vuldb.com/?id.290551
  6. https://nvd.nist.gov/vuln/detail/CVE-2024-12426
  7. https://cwe.mitre.org/data/definitions/200.html

همچنین ممکن است دوست داشته باشید

CVE-2025-21279

CVE-2025-22632

CVE-2025-21383

CVE-2025-27012

CVE-2025-27109

CVE-2025-24989

CVE-2025-21355

CVE-2025-1426

CVE-2025-1006

CVE-2025-0999

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.