خانه » CVE-2025-21354
هشدار‌های سایبری

CVE-2025-21354

آسیب پذیری اجرای کد از راه دور(Remote) در Microsoft Office

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts
  • شناسه CVE-2025-21354 :CVE
  • CWE-822 :CWE
  • yes :Advisory
  • منتشر شده: ژانویه 14, 2025
  • به روز شده: ژانویه 31, 2025
  • امتیاز: 8.4
  • نوع حمله: Unknown
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: نرم افزارهای کاربردی
  • برند: Microsoft
  • محصول: Microsoft Office
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

این آسیب‌پذیری مربوط به کد نامشخصی است و باعث ارجاع به اشاره‌گر غیرقابل‌اعتماد (untrusted pointer)می‌شود. حمله از راه دور(remotely) امکان‌پذیر است. برای رفع این مشکل، به‌روزرسانی امنیتی (Patch) منتشر شده و توصیه می‌شود که هرچه سریع‌تر اعمال شود.

توضیحات

این مشکل مربوط به یک عملکرد نامشخص در نرم‌افزار بوده و در نتیجه دریافت ورودی نامعتبر، منجر به ارجاع به اشاره‌گر غیرقابل‌اعتماد می‌شود. این آسیب‌پذیری تحت طبقه‌بندی CWE-822 قرار گرفته است، به این معنی که محصول موردنظر مقدار دریافتی از یک منبع غیرقابل‌اعتماد را به یک اشاره‌گر تبدیل کرده و سپس آن را مورد استفاده قرار می‌دهد. این ضعف می‌تواند بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترس‌پذیری (Availability) تأثیر منفی بگذارد.

سطح اکسپلویت‌پذیری این مشکل بالا ارزیابی شده است و حمله بدون نیاز به احراز هویت و به‌صورت از راه دور قابل انجام است. اما برای اکسپلویت آن، کاربر باید نوعی تعامل (Interaction) با نرم‌افزار داشته باشد.

زمانی که امتیاز نشان می‌دهد که بردار حمله محلی(Local) است و نیاز به تعامل کاربر دارد، این می‌تواند به یک اکسپلویت اشاره داشته باشد که در آن مهاجم از طریق مهندسی اجتماعی تلاش می‌کند قربانی را متقاعد کند که یک فایل خاص را از یک وب‌سایت دانلود کرده و آن را باز کند، که این عمل منجر به حمله محلی به سیستم قربانی می‌شود.

ابزار اسکن آسیب‌پذیری Nessus با شناسه پلاگین 214131 می‌تواند وجود این نقص امنیتی را در محیط‌های هدف شناسایی کند.

CVSS

Score Severity Version Vector String
8.4 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

 لیست محصولات آسیب پذیر

affected Platforms Product Vendor
affected from 1.0.0 before 16.0.10416.20047 Unknown Office Online Server Microsoft
affected from 19.0.0 before https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft Office 2019 Microsoft
affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft 365 Apps for Enterprise Microsoft
affected from 16.0.1 before 16.93.25011212 Unknown Microsoft Office LTSC for Mac 2021 Microsoft
affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases x64-based Systems, 32-bit Systems Microsoft Office LTSC 2021 Microsoft
affected from 1.0.0 before https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft Office LTSC 2024 Microsoft
affected from 1.0.0 before 16.93.25011212 Unknown Microsoft Office LTSC for Mac 2024 Microsoft

 لیست محصولات بروز شده

Product Impact Max Severity Build Number
Microsoft Office LTSC for Mac 2024 Remote Code Execution Critical 16.93.25011212
Microsoft Office LTSC 2024 for 64-bit editions Remote Code Execution Critical https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC 2024 for 32-bit editions Remote Code Execution Critical https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC 2021 for 32-bit editions Remote Code Execution Critical https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC 2021 for 64-bit editions Remote Code Execution Critical https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC for Mac 2021 Remote Code Execution Critical 16.93.25011212
Microsoft 365 Apps for Enterprise for 64-bit Systems Remote Code Execution Critical https://aka.ms/OfficeSecurityReleases
Microsoft 365 Apps for Enterprise for 32-bit Systems Remote Code Execution Critical https://aka.ms/OfficeSecurityReleases
Microsoft Office 2019 for 64-bit editions Remote Code Execution Critical https://aka.ms/OfficeSecurityReleases
Microsoft Office 2019 for 32-bit editions Remote Code Execution Critical https://aka.ms/OfficeSecurityReleases
Office Online Server Remote Code Execution Critical 16.0.10416.20047

 نتیجه گیری

برای رفع این مشکل، پچ امنیتی توسط مایکروسافت منتشر شده است و توصیه می‌شود که در اولین فرصت، به‌روزرسانی مربوطه نصب شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-21354
  2. https://www.cvedetails.com/cve/CVE-2025-21354/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21354
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-21354
  5. https://vuldb.com/?id.291789
  6. https://nvd.nist.gov/vuln/detail/cve-2025-21354
  7. https://cwe.mitre.org/data/definitions/822.html

همچنین ممکن است دوست داشته باشید

CVE-2025-25893

CVE-2025-1920

CVE-2025-2135

CVE-2025-26916

CVE-2025-26643

CVE-2025-1121

CVE-2025-1923

CVE-2025-1919

CVE-2025-1918

CVE-2025-1915

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.