执行摘要

Microsoft Office Excel中存在的未初始化资源漏洞允许未经授权的攻击者在本地执行代码。

漏洞详情

• CVE编号：CVE-2025-53759
• 发布日期：2025年8月12日
• 最后更新：2025年10月16日
• 分配CNA：Microsoft
• 影响：远程代码执行
• 最高严重等级：重要
• 弱点：CWE-908：使用未初始化资源

CVSS评分

CVSS:3.1 7.8 / 6.8

基础评分指标（8项）

• 攻击向量：本地 - 攻击者需要通过读写/执行能力访问目标系统
• 攻击复杂度：低 - 不存在特殊访问条件，攻击者可重复利用漏洞
• 所需权限：无 - 攻击者无需任何访问权限
• 用户交互：需要 - 需要用户采取某些操作才能利用漏洞
• 范围：未改变 - 漏洞仅影响同一安全权限管理的资源
• 机密性：高 - 存在完全机密性损失
• 完整性：高 - 存在完全完整性损失
• 可用性：高 - 存在完全可用性损失

时间评分指标（3项）

• 漏洞利用成熟度：未验证 - 无公开可用的漏洞利用代码
• 修复级别：官方修复 - 供应商已提供完整解决方案
• 报告可信度：已确认 - 存在详细报告或可功能复现

可利用性评估

• 公开披露：否
• 已利用：否
• 可利用性评估：利用可能性较低

常见问题解答

根据CVSS指标，攻击向量是本地（AV:L）。为什么CVE标题表明这是远程代码执行？

标题中的"远程"指的是攻击者的位置。这种类型的漏洞利用有时被称为任意代码执行（ACE）。攻击本身在本地进行，这意味着攻击者或受害者需要从本地机器执行代码来利用漏洞。

根据CVSS指标，需要用户交互（UI:R）。用户需要做什么交互？

攻击者必须向用户发送恶意文件并说服他们打开它。

预览窗格是否是此漏洞的攻击向量？

否，预览窗格不是攻击向量。

致谢

Jmini和boolgombear

安全更新

修订记录

• 版本2.0（2025年10月16日）：修订包以包含此漏洞的下载中心ID
• 版本1.0（2025年8月12日）：信息发布