CVE-2025-21392

شناسه CVE-2025-21392 :CVE
CWE-416 :CWE
yes :Advisory
منتشر شده: فوریه 11, 2025
به روز شده: فوریه 14, 2025
امتیاز: 7.8
نوع حمله: Unknown

اثر گذاری: Remote code execution(RCE)
حوزه: نرم افزارهای کاربردی
برند: Microsoft
محصول: Microsoft Office
وضعیتPublished :CVE
No :POC
وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در Microsoft Office کشف شده است. ایجاد تغییرات در ورودی منجر به Use After Free می‌شود. شناسه این آسیب‌پذیری CVE-2025-21392 است. حمله می‌تواند از راه دور انجام شود. توصیه می‌شود برای رفع این مشکل، به‌روزرسانی امنیتی اعمال شود.

توضیحات

این مشکل در دسته‌بندی CWE-416 قرار دارد. استفاده از حافظه پس از آزاد شدن آن می‌تواند باعث کرش برنامه، استفاده از مقادیر نامعتبر، یا اجرای کد مخرب شود. این آسیب‌پذیری می‌تواند محرمانگی، یکپارچگی و دسترس‌پذیری سیستم را تحت تأثیر قرار دهد.

حمله از طریق این نقص می‌تواند از راه دور انجام شود و برای اکسپلویت آن نیازی به احراز هویت نیست. اما برای موفقیت در حمله، تعامل قربانی مورد نیاز است.

اسکنر امنیتی Nessus یک پلاگین با شناسه 216125 منتشر کرده است که می‌تواند به شناسایی این آسیب‌پذیری در محیط‌های هدف کمک کند.

CVSS

Score	Severity	Version	Vector String
7.8	HIGH	3.1	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions	Platforms	Product
affected from 19.0.0 before https://aka.ms/OfficeSecurityReleases	32-bit Systems, x64-based Systems	Microsoft Office 2019
affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases	32-bit Systems, x64-based Systems	Microsoft 365 Apps for Enterprise
affected from 16.0.1 before 16.94.25020927	Unknown	Microsoft Office LTSC for Mac 2021
affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases	x64-based Systems, 32-bit Systems	Microsoft Office LTSC 2021
affected from 1.0.0 before https://aka.ms/OfficeSecurityReleases	32-bit Systems, x64-based Systems	Microsoft Office LTSC 2024
affected from 1.0.0 before 16.94.25020927	Unknown	Microsoft Office LTSC for Mac 2024 Microsoft Office 2016
affected from 16.0.0 before 16.0.5487.1000	32-bit Systems, x64-based Systems	Microsoft Office 2016

لیست محصولات بروز شده

Product	Impact	Max Severity	Build Number
Microsoft Office 2016 (64-bit edition)	Remote Code Execution	Important	16.0.5487.1000
Microsoft Office 2016 (32-bit edition)	Remote Code Execution	Important	16.0.5487.1000
Microsoft Office LTSC for Mac 2024	Remote Code Execution	Important	16.94.25020927
Microsoft Office LTSC 2024 for 64-bit editions	Remote Code Execution	Important	https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC 2024 for 32-bit editions	Remote Code Execution	Important	https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC 2021 for 32-bit editions	Remote Code Execution	Important	https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC 2021 for 64-bit editions	Remote Code Execution	Important	https://aka.ms/OfficeSecurityReleases
Microsoft Office LTSC for Mac 2021	Remote Code Execution	Important	16.94.25020927
Microsoft 365 Apps for Enterprise for 64-bit Systems	Remote Code Execution	Important	https://aka.ms/OfficeSecurityReleases
Microsoft 365 Apps for Enterprise for 32-bit Systems	Remote Code Execution	Important	https://aka.ms/OfficeSecurityReleases
Microsoft Office 2019 for 64-bit editions	Remote Code Execution	Important	https://aka.ms/OfficeSecurityReleases
Microsoft Office 2019 for 32-bit editions	Remote Code Execution	Important	https://aka.ms/OfficeSecurityReleases

نتیجه گیری

این مشکل با اعمال به‌روزرسانی امنیتی که بلافاصله پس از افشای آسیب‌پذیری منتشر شده است، برطرف می‌شود.

منابع

CVE-2025-21392

آسیب پذیری اجرای کد از راه دور Microsoft Office

چکیده

توضیحات

CVSS

لیست محصولات آسیب پذیر

نتیجه گیری

منابع

CVE-2024-40584

CVE-2023-40721

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ