خانه » CVE-2025-47176
هشدار‌های سایبری

CVE-2025-47176

Microsoft Outlook Remote Code Execution Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 3 بازدید
هشدار سایبری CVE-2025-47176
  • شناسه CVE-2025-47176 :CVE
  • CWE-22 :CWE
  • yes :Advisory
  • منتشر شده: ژوئن 10, 2025
  • به روز شده: ژوئن 20, 2025
  • امتیاز: 7.8
  • نوع حمله: Unknown
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: نرم افزارهای کاربردی
  • برند: Microsoft
  • محصول: Microsoft Office
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در Microsoft Office Outlook به دلیل ضعف پیمایش مسیر (Path Traversal) شناسایی شده است. این آسیب پذیری به مهاجم مجاز با دسترسی لوکال امکان اجرای کد دلخواه را به‌صورت لوکال می‌دهد.

 

توضیحات

این آسیب‌پذیری به دلیل ضعف در پیمایش مسیر (CWE-22) رخ می دهد که ناشی از استفاده از الگوی خاص ‘…/…//’ در پردازش فایل‌ها یا پیوست‌ها توسط Outlook است. مهاجم مجاز با دسترسی لوکال و سطح دسترسی پایین می‌تواند با بهره‌برداری از این ضعف، کد مخرب را به‌صورت لوکال اجرا کند، که این امر می‌تواند منجر به کنترل کامل سیستم، سرقت داده‌ها یا نصب بدافزار شود. این حمله نیازمند دسترسی لوکال ، پیچیدگی پایین و بدون نیاز به تعامل کاربر است. همچنین بر محرمانگی(confidentiality)  ، یکپارچگی (integrity) و در دسترس پذیری(availability)  تأثیر می‌گذارد . هیچ مکانیزم داخلی (مانند تنظیمات امنیتی پیش‌فرض یا محدودیت‌های سیستمی) برای جلوگیری خودکار از این حمله وجود ندارد، به این معنا که هیچ عامل کاهنده‌ای شناسایی نشده است، اما محدود کردن حساب‌های کاربری لوکال می‌تواند ریسک را کاهش دهد.

CVSS

Score Severity Version Vector String
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions Platforms Product
affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft 365 Apps for Enterprise
affected from 1.0.0 before https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft Office LTSC 2024

لیست محصولات بروز شده

Versions Platforms Product
https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft 365 Apps for Enterprise
https://aka.ms/OfficeSecurityReleases 32-bit Systems, x64-based Systems Microsoft Office LTSC 2024

نتیجه گیری

به کاربران توصیه می شود حساب‌های کاربری لوکال غیرضروری را غیرفعال کرده و در اسرع وقت Microsoft 365 و Office LTSC 2024 را با Click-to-Run ژوئن 2025 به روزرسانی کنند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-47176
  2. https://www.cvedetails.com/cve/CVE-2025-47176/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47176
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-47176
  5. https://vuldb.com/?id.311979
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-47176
  7. https://cwe.mitre.org/data/definitions/22.html

همچنین ممکن است دوست داشته باشید

CVE-2025-47170

CVE-2025-47171

CVE-2025-6896

CVE-2025-6897

CVE-2025-6898

CVE-2025-6899

CVE-2025-45931

CVE-2025-6916

CVE-2025-6940

CVE-2025-6939

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.