CVE-2025-64403 - Apache OpenOffice:通过Calc中的"外部数据源"无提示加载远程文档
概述
漏洞描述
Apache OpenOffice Calc电子表格可以包含指向其他文件的链接,形式为"外部数据源"。Apache OpenOffice中存在一个缺失授权漏洞,允许攻击者构造一个文档,导致此类链接在无提示的情况下被加载。
此问题影响Apache OpenOffice:4.1.15及之前版本。
建议用户升级到4.1.16版本,该版本修复了此问题。
基本信息
发布时间:2025年11月12日上午9:15
最后修改:2025年11月12日下午4:19
远程利用:是
信息来源:security@apache.org
受影响产品
以下产品受到CVE-2025-64403漏洞影响:
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Apache | OpenOffice |
受影响供应商总数:1 | 产品总数:1
CVSS评分
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.1 | CVSS 3.1 | 高 | 2.8 | 5.2 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
将Apache OpenOffice升级到版本4.1.16以修复授权漏洞。
- 升级Apache OpenOffice到版本4.1.16
- 安全加载外部数据源
公开PoC/漏洞利用
CVE-2025-64403在Github上有1个公开PoC/漏洞利用。
makaroonbourne/CVE-2025-64403-Exploit
- 弱点:缺失授权(CWE-862)
- 更新时间:5小时49分钟前
- 0星标,0分支,0关注者
- 创建于:2025年11月12日下午5:04
- 此仓库还关联了1个其他CVE
参考资源
以下是与CVE-2025-64403相关的外部链接:
- https://lists.apache.org/thread/t7c6jhvdb00xtgd9vvn7h5sq9f4h5trt
- https://www.openoffice.org/security/cves/CVE-2025-64403.html
- http://www.openwall.com/lists/oss-security/2025/11/11/6
CWE - 常见弱点枚举
CVE-2025-64403与以下CWE相关联:
CWE-862:缺失授权
常见攻击模式枚举和分类(CAPEC)
CAPEC-665:利用Thunderbolt保护缺陷
相关新闻
CybersecurityNews
多个Apache OpenOffice漏洞导致内存损坏和未经授权的内容加载
Apache OpenOffice已发布版本4.1.16,解决了七个关键安全漏洞,这些漏洞允许未经授权的远程文档加载和内存损坏攻击。这些缺陷代表了…
发布日期:2025年11月12日(12小时46分钟前)
漏洞时间线
2025年11月12日 - CVE修改(134c704f-9b21-4f2e-91b3-4a467353bcc0)
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
2025年11月12日 - 新CVE接收(security@apache.org)
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Apache OpenOffice Calc电子表格可以包含指向其他文件的链接… | |
| 添加 | CWE | CWE-862 | |
| 添加 | 参考 | https://lists.apache.org/thread/t7c6jhvdb00xtgd9vvn7h5sq9f4h5trt | |
| 添加 | 参考 | https://www.openoffice.org/security/cves/CVE-2025-64403.html |
2025年11月12日 - CVE修改(af854a3a-2127-422b-91ae-364da2661108)
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 参考 | http://www.openwall.com/lists/oss-security/2025/11/11/6 |