- شناسه CVE-2025-0514 :CVE
- CWE-20 :CWE
- yes :Advisory
- منتشر شده: فوریه 25, 2025
- به روز شده: فوریه 25, 2025
- امتیاز: 7.2
- نوع حمله: Unknown
- اثر گذاری: Remote code execution(RCE)
- حوزه: نرم افزارهای کاربردی
- برند: The Document Foundation
- محصول: LibreOffice
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در LibreOffice تا نسخه 24.8.4 شناسایی شده است. این نقص در بخشی از مدیریت لینکهای اجرایی ویندوز (Windows Executable Hyperlink Target Handler) قرار دارد. این آسیبپذیری به دلیل اعتبارسنجی نادرست در ورودی رخ میدهد. این مشکل با شناسه CVE-2025-0514 ثبت شده است.
حمله میتواند از راه دور انجام شود. توصیه میشود که LibreOffice به نسخه 24.8.5 ارتقا داده شود.
توضیحات
این آسیبپذیری به مهاجمان اجازه میدهد که لینکهای اجرایی ویندوز را بدون هیچ محدودیتی هنگام فعالسازی اجرا کنند. این مشکل بر اساس CWE-20 طبقهبندی شده است، که نشان میدهد محصول ورودیها را بهدرستی بررسی نمیکند و در نتیجه میتواند دادههای نادرست را پردازش کند. این نقص بر محرمانگی، یکپارچگی، و دسترسپذیری تأثیر میگذارد.
این مشکل تمام نسخههای LibreOffice از 24.8 تا قبل از 24.8.5 را تحت تأثیر قرار میدهد.
سطح دشواری اکسپلویت این آسیبپذیری بالا ارزیابی شده است. حمله از راه دور امکانپذیر است و نیازی به احراز هویت ندارد. برای اکسپلویت این نقص، تعامل کاربر و قربانی مورد نیاز است.
CVSS
| Score | Severity | Version | Vector String |
| 7.2 | HIGH | 3.1 | CVSS:4.0/AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:L/VA:H/SC:H/SI:H/SA:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 24.8 before < 24.8.5 | LibreOffice |
لیست محصولات بروز شده
| Versions | Product |
| 24.8.5 | LibreOffice |
نتیجه گیری
ارتقا به نسخه 24.8.5 این آسیبپذیری را برطرف میکند.
