- شناسه CVE-2025-47953 :CVE
- CWE-641 :CWE
- yes :Advisory
- منتشر شده: ژوئن 10, 2025
- به روز شده: ژوئن 20, 2025
- امتیاز: 8.4
- نوع حمله: Use after free
- اثر گذاری: Remote code execution(RCE)
- حوزه: نرم افزارهای کاربردی
- برند: Microsoft
- محصول: Microsoft Office
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در Microsoft Office به دلیل ضعف در استفاده پس از آزادسازی (Use After Free) شناسایی شده است. این آسیب پذیری به مهاجم غیرمجاز امکان اجرای کد بهصورت لوکال را میدهد.
توضیحات
این آسیبپذیری در محصولات Microsoft Office به دلیل ضعف در استفاده پس از آزادسازی (Use After Free) و محدودیت نادرست نام فایلها یا منابع (CWE-641) رخ میدهد. مهاجم غیرمجاز میتواند با بهرهبرداری از این آسیب پذیری، کد مخرب را بهصورت لوکال اجرا کرده، که این امر میتواند منجر به نصب بدافزار، دسترسی غیرمجاز به دادهها یا کنترل کامل سیستم شود. این حمله نیازمند دسترسی لوکال، پیچیدگی پایین، بدون نیاز به سطح دسترسی و تعامل کاربر است. همچنین بر محرمانگی(confidentiality) ، یکپارچگی (integrity) و در دسترس پذیری(availability) تأثیر میگذارد . طبق گفته ی Microsoft ، پیشنمایش در Preview Pane یک بردار حمله است، به این معنا که باز کردن فایل نیازی به کلیک کاربر نداشته و صرفاً مشاهده در Preview Pane میتواند بهرهبرداری را ممکن کند. هیچ مکانیزم داخلی (مانند تنظیمات امنیتی پیشفرض یا محدود کردن دسترسی به فایلها) برای جلوگیری خودکار از این حمله وجود ندارد، به این معنا که هیچ عامل کاهندهای شناسایی نشده است. با این حال، سیستمهایی با حسابهای کاربری محدود ممکن است تأثیر کمتری ببینند. این آسیب پذیری با بهروزرسانیهای امنیتی ژوئن 2025 پچ شده است.
CVSS
| Score | Severity | Version | Vector String |
| 8.4 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 19.0.0 before https://aka.ms/OfficeSecurityReleases | 32-bit Systems, x64-based Systems | Microsoft Office 2019 |
| affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases | 32-bit Systems, x64-based Systems | Microsoft 365 Apps for Enterprise |
| affected from 16.0.1 before 16.98.25060824 | Unknown | Microsoft Office LTSC for Mac 2021 |
| affected from 16.0.1 before https://aka.ms/OfficeSecurityReleases | x64-based Systems, 32-bit Systems | Microsoft Office LTSC 2021 |
| affected from 16.0.1 before 16.0.18925.20000 | Unknown | Microsoft Office for Android |
| affected from 1.0.0 before https://aka.ms/OfficeSecurityReleases | 32-bit Systems, x64-based Systems | Microsoft Office LTSC 2024 |
| affected from 1.0.0 before 16.98.25060824 | Unknown | Microsoft Office LTSC for Mac 2024 |
| affected from 16.0.0 before 16.0.5504.1000 | 32-bit Systems, x64-based Systems | Microsoft Office 2016 |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| https://aka.ms/OfficeSecurityReleases | 32-bit Systems, x64-based Systems | Microsoft Office 2019 |
| https://aka.ms/OfficeSecurityReleases | 32-bit Systems, x64-based Systems | Microsoft 365 Apps for Enterprise |
| 16.98.25060824 | Unknown | Microsoft Office LTSC for Mac 2021 |
| https://aka.ms/OfficeSecurityReleases | x64-based Systems, 32-bit Systems | Microsoft Office LTSC 2021 |
| 16.0.18925.20000 | Unknown | Microsoft Office for Android |
| 16.98.25060824 | 32-bit Systems, x64-based Systems | Microsoft Office LTSC 2024 |
| 16.98.25060824 | Unknown | Microsoft Office LTSC for Mac 2024 |
| 16.0.5504.1000 | 32-bit Systems, x64-based Systems | Microsoft Office 2016 |
نتیجه گیری
به کاربران توصیه می شود در اسرع وقت Microsoft Office را با بهروزرسانیهای ژوئن 2025 به نسخههای امن ارتقاء دهند. همچنین کاربران باید حسابهای کاربری لوکال غیرضروری را غیرفعال کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-47953
- https://www.cvedetails.com/cve/CVE-2025-47953/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47953
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-47953
- https://vuldb.com/?id.311980
- https://nvd.nist.gov/vuln/detail/CVE-2025-47953
- https://cwe.mitre.org/data/definitions/641.html
