خانه » CVE-2025-21383
هشدار‌های امنیت سایبری

CVE-2025-21383

آسیب‌پذیری افشای اطلاعات در مایکروسافت اکسل

توسط Vulnerbyte_Alerts
نوشته شده توسط Vulnerbyte_Alerts
  • شناسه CVE-2025-21383 :CVE
  • CWE-125 :CWE
  • yes :Advisory
  • منتشر شده: فوریه 11, 2025
  • به روز شده: فوریه 14, 2025
  • امتیاز: 7.8
  • نوع حمله: Unknown
  • اثر گذاری: Information Disclosure
  • حوزه: نرم افزارهای کاربردی
  • برند: Microsoft
  • محصول: Microsoft Office
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در مایکروسافت اکسل شناسایی شده است. ایجاد تغییرات باعث خروج از محدوده (out-of-bounds) می‌شود. این آسیب‌پذیری با شناسه CVE-2025-21383 ثبت شده است. امکان آغاز حمله از راه دور وجود دارد. توصیه می‌شود برای رفع این مشکل، بروزرسانی مربوطه اعمال شود.

توضیحات

در این حالت، محصول، داده‌ها را خارج از محدوده بافر مورد نظر می‌خواند. این آسیب‌پذیری می‌تواند بر محرمانگی تأثیر بگذارد.

حمله می‌تواند از راه دور انجام شود. برای اکسپلویت نیازی به احراز هویت نیست. موفقیت در اکسپلویت نیازمند تعامل کاربر از سوی قربانی است.

اسکنر آسیب‌پذیری Nessus افزونه‌ای با شناسه 216125 ارائه داده است که به شناسایی وجود این آسیب‌پذیری در محیط هدف کمک می‌کند (به‌روزرسانی‌های امنیتی برای محصولات مایکروسافت آفیس، فوریه ۲۰۲۵).

CVSS

Score Severity Version Vector String
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

 لیست محصولات آسیب پذیر

Versions Platforms Product
affected from 19.0.0 before https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft Office 2019
affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft 365 Apps for Enterprise
affected from 16.0.1 before 16.94.25020927 Unknown Microsoft Office LTSC for Mac 2021
affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases x64-based Systems, 32-bit Systems Microsoft Office LTSC 2021
affected from 1.0.0 before https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft Office LTSC 2024
affected from 1.0.0 before 16.94.25020927 Unknown Microsoft Office LTSC for Mac 2024
affected from 16.0.0.0 before 16.0.5487.1000 32-bit Systems, x64-based Systems Microsoft Excel 2016

 لیست محصولات بروز شده

Product Impact Max Severity Build Number
Microsoft Excel 2016 (64-bit edition) Information Disclosure Important 16.0.5487.1000
Microsoft Excel 2016 (32-bit edition) Information Disclosure Important 16.0.5487.1000
Microsoft Office LTSC for Mac 2024 Information Disclosure Important 16.94.25020927
Microsoft Office LTSC 2024 for 64-bit editions Information Disclosure Important https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC 2024 for 32-bit editions Information Disclosure Important https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC 2021 for 32-bit editions Information Disclosure Important https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC 2021 for 64-bit editions Information Disclosure Important https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC for Mac 2021 Information Disclosure Important 16.94.25020927
Microsoft 365 Apps for Enterprise for 64-bit Systems Information Disclosure Important https://aka.ms/OfficeSecurityReleases
Microsoft 365 Apps for Enterprise for 32-bit Systems Information Disclosure Important https://aka.ms/OfficeSecurityReleases
Microsoft Office 2019 for 64-bit editions Information Disclosure Important https://aka.ms/OfficeSecurityReleases
Microsoft Office 2019 for 32-bit editions Information Disclosure Important https://aka.ms/OfficeSecurityReleases

 نتیجه گیری

یک مهاجم که موفق به اکسپلویت این آسیب‌پذیری شود، ممکن است بخش‌های کوچکی از حافظه heap را بخواند.

برای اکسپلویت این آسیب‌پذیری، یک حمله‌کننده ابتدا باید وارد سیستم شود. سپس می‌تواند یک برنامه خاص و طراحی‌شده را اجرا کند که این آسیب‌پذیری را مورد سوءاستفاده قرار دهد و کنترل سیستم آسیب‌دیده را به دست بگیرد.

علاوه بر این، حمله‌کننده می‌تواند کاربر محلی را متقاعد کند تا یک فایل مخرب را باز کند. حمله‌کننده باید کاربر را ترغیب کند که روی یک لینک کلیک کند، معمولاً از طریق ایمیل یا پیام او را متقاعد می کند که فایل خاصی را باز کند. برای  جلوگیری از نفوذ از موارد بروزرسانی شده استفاده کنید.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-21383
  2. https://www.cvedetails.com/cve/CVE-2025-21383/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21383
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-21383
  5. https://vuldb.com/?id.295319
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-21383
  7. https://cwe.mitre.org/data/definitions/125.html

همچنین ممکن است دوست داشته باشید

CVE-2025-21279

CVE-2025-22632

CVE-2025-27012

CVE-2025-27109

CVE-2025-24989

CVE-2025-21355

CVE-2025-1426

CVE-2025-1006

CVE-2025-0999

CVE-2024-20677

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.