- شناسه CVE-2025-47173 :CVE
- CWE-641 :CWE
- yes :Advisory
- منتشر شده: ژوئن 10, 2025
- به روز شده: ژوئن 20, 2025
- امتیاز: 7.8
- نوع حمله: Unknown
- اثر گذاری: Remote code execution(RCE)
- حوزه: نرم افزارهای کاربردی
- برند: Microsoft
- محصول: Microsoft Office
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در Microsoft Office به دلیل اعتبارسنجی نادرست ورودی (Improper Input Validation) شناسایی شده است. این آسیب پذیری به مهاجم غیرمجاز امکان اجرای کد بهصورت لوکال را میدهد.
توضیحات
این آسیبپذیری در محصولات Microsoft Office به دلیل اعتبارسنجی نادرست ورودی (CWE-641) رخ میدهد. مهاجم غیرمجاز میتواند با ارسال یک فایل مخرب و ترغیب کاربر به باز کردن آن، کد دلخواه را بهصورت لوکال اجرا کند، که این امر میتواند منجر به نصب بدافزار، سرقت دادهها یا کنترل کامل سیستم شود. این حمله نیازمند دسترسی لوکال ،پیچیدگی پایین، بدون نیاز به سطح دسترسی و تعامل کاربر برای باز کردن فایل مخرب است. همچنین بر محرمانگی(confidentiality) ، یکپارچگی (integrity) و در دسترس پذیری(availability) تأثیر میگذارد. هیچگونه مکانیزم داخلی (مانند تنظیمات امنیتی پیشفرض یا فیلترهای فایل) برای جلوگیری خودکار از این حمله وجود ندارد، به این معنا که هیچ عامل کاهندهای شناسایی نشده است، اما محدود کردن حسابهای کاربری و احتیاط در باز کردن فایلهای ناشناخته میتواند ریسک را کاهش دهد. این آسیب پذیری در بهروزرسانیهای امنیتی ژوئن 2025 برطرف شده است.
CVSS
| Score | Severity | Version | Vector String |
| 7.8 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 19.0.0 before https://aka.ms/OfficeSecurityReleases | 32-bit Systems, x64-based Systems | Microsoft Office 2019 |
| affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases | 32-bit Systems, x64-based Systems | Microsoft 365 Apps for Enterprise |
| affected from 16.0.1 before 16.98.25060824 | Unknown | Microsoft Office LTSC for Mac 2021 |
| affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases | x64-based Systems, 32-bit Systems | Microsoft Office LTSC 2021 |
| affected from 1.0.0 before https://aka.ms/OfficeSecurityReleases | 32-bit Systems, x64-based Systems | Microsoft Office LTSC 2024 |
| affected from 1.0.0 before 16.98.25060824 | Unknown | Microsoft Office LTSC for Mac 2024 |
| affected from 16.0.0 before 16.0.5504.1000 | 32-bit Systems, x64-based Systems | Microsoft Office 2016 |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| https://aka.ms/OfficeSecurityReleases | 32-bit Systems, x64-based Systems | Microsoft Office 2019 |
| https://aka.ms/OfficeSecurityReleases | 32-bit Systems, x64-based Systems | Microsoft 365 Apps for Enterprise |
| 16.98.25060824 | Unknown | Microsoft Office LTSC for Mac 2021 |
| https://aka.ms/OfficeSecurityReleases | x64-based Systems, 32-bit Systems | Microsoft Office LTSC 2021 |
| https://aka.ms/OfficeSecurityReleases | 32-bit Systems, x64-based Systems | Microsoft Office LTSC 2024 |
| 16.98.25060824 | Unknown | Microsoft Office LTSC for Mac 2024 |
| 16.0.5504.1000 | 32-bit Systems, x64-based Systems | Microsoft Office 2016 |
نتیجه گیری
به کاربران توصیه می شود در اسرع وقت Microsoft Office را به نسخههای امن به روزرسانی کرده و از باز کردن فایلهای ناشناخته خودداری نمایند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-47173
- https://www.cvedetails.com/cve/CVE-2025-47173/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47173
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-47173
- https://vuldb.com/?id.311976
- https://nvd.nist.gov/vuln/detail/cve-2025-47173
- https://cwe.mitre.org/data/definitions/641.html
