خانه » CVE-2025-21361
هشدار‌های سایبری

CVE-2025-21361

آسیب پذیری اجرای کد از راه دور مایکروسافت Outlook

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts
  • شناسه CVE-2025-21361 :CVE
  • CWE-641 :CWE
  • yes :Advisory
  • منتشر شده: ژانویه 14, 2025
  • به روز شده: ژانویه 31, 2025
  • امتیاز: 7.8
  • نوع حمله: Unknown
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: نرم افزارهای کاربردی
  • برند: Microsoft
  • محصول: Outlook
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری بحرانی در Microsoft Office و Outlook بر روی macOS شناسایی شده است. این مشکل مربوط به بخشی ناشناخته از نرم‌افزار بوده و منجر به اجرای کد از راه دور (Remote Code Execution) می‌شود. این آسیب‌پذیری با شناسه CVE-2025-21361 ثبت شده است. حمله می‌تواند از راه دور انجام شود.

توضیحات

این آسیب‌پذیری مربوط به یک بخش ناشناخته از کد نرم‌افزار است که در اثر دریافت ورودی خاص، امکان اجرای کد از راه دور را فراهم می‌کند. این آسیب‌پذیری تحت عنوان CWE-641 دسته‌بندی شده است، که نشان می‌دهد نرم‌افزار نام یک فایل یا منبع را بر اساس ورودی دریافتی از یک بخش بالادستی می‌سازد، اما محدودیت‌های لازم را برای این ورودی اعمال نمی‌کند یا آن را به‌درستی کنترل نمی‌کند.

فرآیند اکسپلویت این آسیب‌پذیری نسبتاً آسان به نظر می‌رسد و حمله می‌تواند از راه دور انجام شود. برای اکسپلویت این آسیب‌پذیری، نیازی به احراز هویت نیست، اما کاربر و قربانی باید به نوعی تعامل داشته باشد (مثلاً باز کردن یک فایل مخرب). مهاجم می‌تواند با دور زدن مکانیزم‌های حفاظتی Outlook که مانع از پیوست شدن فایل‌هایی با پسوندهای خطرناک می‌شوند، یک فایل مخرب را ضمیمه کرده و اجرای کد از راه دور (RCE) را ممکن سازد.

این آسیب‌پذیری فقط نسخه قدیمی (Legacy) از Outlook برای مک را تحت تأثیر قرار می‌دهد.

این نوع سوءاستفاده گاهی با عنوان اجرای کد دلخواه (Arbitrary Code Execution – ACE) نیز شناخته می‌شود. خود حمله به‌صورت محلی (Local)انجام می‌شود. برای انجام این حمله از طریق مهندسی اجتماعی، کاربر باید قربانی را متقاعد ‌کند که یک فایل مخرب را از یک وب‌سایت دانلود و اجرا کند، که در نهایت منجر به حمله محلی (Local)روی سیستم او می‌شود.

CVSS

Score Severity Version Vector String
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RC:C

 لیست محصولات آسیب پذیر

Versions Platforms Product
affected from 16.0.1 before 16.93.25011212 Unknown Microsoft Office LTSC for Mac 2021
affected from 1.0.0 before 16.93 Unknown Microsoft Outlook for Mac
affected from 1.0.0 before 16.93.25011212 Unknown Microsoft Office LTSC for Mac 2024

 لیست محصولات بروز شده

Product Impact Max Severity Build Number
Microsoft Office LTSC for Mac 2024 Remote Code Execution Important 16.93.25011212
Microsoft Outlook for Mac Remote Code Execution Important 16.93
Microsoft Office LTSC for Mac 2021 Remote Code Execution Important 16.93.25011212

 منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-21361
  2. https://www.cvedetails.com/cve/CVE-2025-21361/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21361
  4. https://vuldb.com/?id.291793
  5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-21361
  6. https://nvd.nist.gov/vuln/detail/cve-2025-21361
  7. https://cwe.mitre.org/data/definitions/641.html

همچنین ممکن است دوست داشته باشید

CVE-2025-25893

CVE-2025-1920

CVE-2025-2135

CVE-2025-26916

CVE-2025-26643

CVE-2025-1121

CVE-2025-1923

CVE-2025-1919

CVE-2025-1918

CVE-2025-1915

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.