خانه » CVE-2025-21363
هشدار‌های سایبری

CVE-2025-21363

آسیب پذیری اجرای کد از راه دور در Microsoft Word

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts
  • شناسه CVE-2025-21363 :CVE
  • CWE-822 :CWE
  • yes :Advisory
  • منتشر شده: ژانویه 14, 2025
  • به روز شده: ژانویه 28, 2025
  • امتیاز: 7.8
  • نوع حمله: Unknown
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: نرم افزارهای کاربردی
  • برند: Microsoft
  • محصول: Microsoft Office
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در Microsoft Office، Word و 365 Apps for Enterprise شناسایی شده است .این آسیب‌پذیری بر روی کدی ناشناخته تاثیر می‌گذارد و باعث ارجاع به اشاره‌گر(Pointer) غیرمعتبر می‌شود. حمله می‌تواند از راه دور آغاز شود. توصیه می‌شود که پچ مربوطه برای رفع این مشکل اعمال شود.

توضیحات

ایجاد تغییرات با ورودی ناشناخته منجر به آسیب‌پذیری ارجاع به اشاره‌گر(Pointer) غیرمعتبر می‌شود. CWE این مشکل را به‌عنوان CWE-822 طبقه‌بندی کرده است. محصول مقداری را از یک منبع غیرمعتبر دریافت می‌کند، این مقدار به یک اشاره‌گر تبدیل می‌شود و سپس به اشاره‌گر حاصل دسترسی پیدا می‌کند.

این آسیب‌پذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترس‌پذیری (Availability) تأثیر می‌گذارد.

گفته می‌شود که این آسیب‌پذیری به راحتی قابل اکسپلویت کردن است و حمله می‌تواند از راه دور انجام شود. برای اکسپلویت آن هیچ‌گونه احراز هویتی نیاز نیست، ولی نیازمند تعامل کاربر است. حمله به‌طور محلی (Local)انجام می‌شود.

اسکنر آسیب‌پذیری Nessus یک پلاگین با شناسه 214206 (به‌روزرسانی‌های امنیتی برای محصولات Microsoft Office (ژانویه 2025) (macOS)) ارائه می‌دهد که به شناسایی وجود این آسیب‌پذیری در محیط هدف کمک می‌کند.

CVSS

Score Severity Version Vector String
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RC:C

 لیست محصولات آسیب پذیر

affected Platforms Product Vendor
affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft 365 Apps for Enterprise Microsoft
affected from 16.0.1 before 16.93.25011212 Unknown Microsoft Office LTSC for Mac 2021 Microsoft
affected from 1.0.0 before https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft Office LTSC 2024 Microsoft
affected from 1.0.0 before 16.93.25011212 Unknown Microsoft Office LTSC for Mac 2024 Microsoft

 لیست محصولات بروز شده

Product Impact Max Severity Build Number
Microsoft Office LTSC for Mac 2024 Remote Code Execution Important 16.93.25011212
Microsoft Office LTSC 2024 for 64-bit editions Remote Code Execution Important https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC 2024 for 32-bit editions Remote Code Execution Important https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC for Mac 2021 Remote Code Execution Important 16.93.25011212
Microsoft 365 Apps for Enterprise for 64-bit Systems Remote Code Execution Important https://aka.ms/OfficeSecurityReleases
Microsoft 365 Apps for Enterprise for 32-bit Systems Remote Code Execution Important https://aka.ms/OfficeSecurityReleases

نتیجه گیری

برای جلوگیری از سواستفاده در اثر این آسیب پذیری ، بهتر است از موارد بروزرسانی شده استفاده کنید.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-21363
  2. https://www.cvedetails.com/cve/CVE-2025-21363/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21363
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-21363
  5. https://vuldb.com/?id.291795
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-21363
  7. https://cwe.mitre.org/data/definitions/822.html

همچنین ممکن است دوست داشته باشید

CVE-2025-25893

CVE-2025-1920

CVE-2025-2135

CVE-2025-26916

CVE-2025-26643

CVE-2025-1121

CVE-2025-1923

CVE-2025-1919

CVE-2025-1918

CVE-2025-1915

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.