CVE-2025-1080

چکیده

یک آسیب‌پذیری در نرم‌افزار LibreOffice شناسایی شده است. این مشکل بر پردازش Office URI Scheme Handler تأثیر می‌گذارد. این آسیب‌پذیری ناشی از ضعف در اعتبارسنجی ورودی است و با شناسه CVE-2025-1080 ثبت شده است. حمله می‌تواند از راه دور انجام شود. توصیه می‌شود که نسخه آسیب‌دیده به‌روزرسانی شود.

توضیحات

این مشکل ناشی از ضعف در اعتبارسنجی ورودی (CWE-20) است. در واقع، نرم‌افزار ورودی‌های دریافتی را به درستی بررسی نمی‌کند یا به شکلی نادرست اعتبارسنجی می‌کند، که می‌تواند منجر به پردازش ناامن داده‌ها شود.

این آسیب‌پذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity)، و دسترس‌پذیری (Availability) تأثیر می‌گذارد.

نرم‌افزار LibreOffice ازOffice URI Schemes  برای یکپارچه‌سازی مرورگر با سرورMicrosoft SharePoint پشتیبانی می‌کند. در نسخه‌های آسیب‌پذیر، یک طرح (scheme) جدید به نام “vnd.libreoffice.command” که مخصوص LibreOffice است، اضافه شده است. در این نسخه‌ها، یک لینک در مرورگر که از این طرح استفاده می‌کند، می‌تواند شامل یک URL داخلی جاسازی‌شده باشد. زمانی که این لینک به LibreOffice ارسال شود، ممکن است باعث اجرای ماکروهای داخلی با آرگومان‌های دلخواه شود.

اکسپلویت این آسیب‌پذیری آسان است. حمله می‌تواند از راه دور انجام شود و نیازی به احراز هویت ندارد. برای موفقیت در حمله، کاربر و قربانی باید با استفاده از یک لینک مخرب با یکدیگر تعامل داشته باشد (مثلاً روی آن کلیک کند).

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

برای جلوگیری از نفوذ از موارد بروزرسانی شده استفاده کنید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-1080
2. https://www.cvedetails.com/cve/CVE-2025-1080/
3. https://www.libreoffice.org/about-us/security/advisories/cve-2025-1080
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1080
5. https://vuldb.com/?id.298606
6. https://nvd.nist.gov/vuln/detail/CVE-2025-1080
7. https://cwe.mitre.org/data/definitions/20.html