- شناسه CVE-2025-32717 :CVE
- CWE-122 :CWE
- yes :Advisory
- منتشر شده: ژوئن 10, 2025
- به روز شده: ژوئن 13, 2025
- امتیاز: 8.4
- نوع حمله: Heap-based Overflow
- اثر گذاری: Remote code execution(RCE)
- حوزه: نرم افزارهای کاربردی
- برند: Microsoft
- محصول: Microsoft 365 Apps
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری سرریز بافر مبتنی بر Heap در Microsoft Office Word به مهاجم غیرمجاز امکان اجرای کد دلخواه بهصورت لوکال را میدهد. این آسیب پذیری با باز کردن فایل RTF مخرب یا نمایش آن در پیشنمایش قابل بهرهبرداری است.
توضیحات
این آسیبپذیری در Microsoft 365 Apps for Enterprise (نسخههای 32 بیتی و 64 بیتی) به دلیل سرریز بافر مبتنی بر Heap (CWE-122) در Microsoft Office Word رخ میدهد. مهاجم میتواند با ایجاد فایل RTF مخرب، کد دلخواه را روی سیستم کاربر اجرا کند، بهویژه اگر کاربر فایل را باز کند یا آن را در پنجره پیشنمایش (Preview Pane) مشاهده کند. این آسیب پذیری بر محرمانگی(confidentiality) ، یکپارچگی (integrity) و در دسترس پذیری (availability) سیستم تأثیر میگذارد. بهرهبرداری نیاز به دسترسی لوکال داشته و بدون نیاز به احراز هویت انجام میشود، اما ممکن است نیاز به تعامل کاربر (مثل باز کردن فایل) داشته باشد.
CVSS
| Score | Severity | Version | Vector String |
| 8.4 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| Affected from 16.0.1 before https://aka. | 32-bit Systems, x64-based Systems | Microsoft 365 Apps for Enterprise |
نتیجه گیری
به کاربران توصیه می شود از باز کردن فایلهای RTF مشکوک خودداری کرده و منتظر انتشار پچ امنیتی مایکروسافت باشند. فعالسازی بهروزرسانی خودکار نیز توصیه میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-32717
- https://www.cvedetails.com/cve/CVE-2025-32717/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32717
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-32717
- https://vuldb.com/?id.312045
- https://nvd.nist.gov/vuln/detail/CVE-2025-32717
- https://cwe.mitre.org/data/definitions/122.html
