概述
CVE ID: CVE-2025-64403
产品: Apache OpenOffice
厂商: Apache
CVSS 3.1评分: 8.1(高危)
漏洞描述
Apache OpenOffice Calc 电子表格可以包含指向其他文件的链接,形式为"外部数据源"。Apache OpenOffice 中存在一个缺失授权漏洞,攻击者可以制作一个文档,导致此类链接在没有提示的情况下被加载。
此问题影响 Apache OpenOffice:4.1.15 及之前版本。
建议用户升级到 4.1.16 版本,该版本修复了此问题。
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Apache | openoffice |
受影响厂商总数: 1 | 产品总数: 1
CVSS 评分
| 评分 | 版本 | 严重等级 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 8.1 | CVSS 3.1 | 高危 | 2.8 | 5.2 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 将 Apache OpenOffice 升级到版本 4.1.16
- 安全加载外部数据源
公共PoC/漏洞利用
CVE-2025-64403 在 GitHub 上有 1 个公共 PoC/漏洞利用。
makaroonbourne/CVE-2025-64403-Exploit
- 弱点:缺失授权 (CWE-862)
- 更新时间:12小时7分钟前
- 创建于:2025年11月12日下午5:04
参考链接
- https://lists.apache.org/thread/t7c6jhvdb00xtgd9vvn7h5sq9f4h5trt
- https://www.openoffice.org/security/cves/CVE-2025-64403.html
- http://www.openwall.com/lists/oss-security/2025/11/11/6
CWE - 常见弱点枚举
CWE-862: 缺失授权
CAPEC - 常见攻击模式枚举和分类
CAPEC-665: 利用Thunderbolt保护缺陷
漏洞时间线
2025年11月12日 - 由 security@apache.org 添加新CVE
- 添加描述信息
- 添加CWE-862
- 添加参考链接
2025年11月12日 - 由 134c704f-9b21-4f2e-91b3-4a467353bcc0 修改
- 添加CVSS V3.1评分:AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
2025年11月12日 - 由 af854a3a-2127-422b-91ae-364da2661108 修改
- 添加参考链接