CVE-2025-53733 - Microsoft Word远程代码执行漏洞
漏洞概述
CVE编号:CVE-2025-53733
漏洞类型:数字类型转换错误(CWE-681)
最大严重性:严重
影响:远程代码执行
发布时间:2025年8月12日
最后更新:2025年10月16日
技术细节
漏洞描述
Microsoft Office Word中的数字类型转换错误允许未经授权的攻击者在本地执行代码。
CVSS 3.1评分指标
基础评分:8.4 / 时序评分:7.3
基础评分指标
- 攻击向量:本地
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
时序评分指标
- 漏洞利用成熟度:未验证
- 修复级别:官方修复
- 报告可信度:已确认
漏洞利用性评估
| 评估项目 | 状态 |
|---|---|
| 公开披露 | 否 |
| 已被利用 | 否 |
| 可利用性评估 | 利用可能性较低 |
常见问题解答
问:预览窗格是否是此漏洞的攻击向量?
答:是的,预览窗格是攻击向量。
问:根据CVSS指标,攻击向量是本地(AV:L),为什么CVE标题显示这是远程代码执行?
答:标题中的"远程"指的是攻击者的位置。这种类型的漏洞利用有时被称为任意代码执行(ACE)。攻击本身是在本地进行的,这意味着攻击者或受害者需要从本地机器执行代码来利用此漏洞。
问:对于某些受影响的软件有多个更新包可用,我需要安装安全更新表中列出的所有更新吗?
答:是的。客户应应用为其系统上安装的软件提供的所有更新。如果适用多个更新,可以按任意顺序安装。
安全更新
以下为受影响的产品及对应的安全更新:
| 发布日期 | 产品 | 平台 | 影响 | 最大严重性 | 知识库文章 | 下载 | 构建编号 |
|---|---|---|---|---|---|---|---|
| 2025年8月12日 | Microsoft Office 2019 64位版本 | - | 远程代码执行 | 严重 | 1个链接 | 安全更新 | https://aka.ms/OfficeSecurityReleases |
| 2025年8月12日 | Microsoft Office 2019 32位版本 | - | 远程代码执行 | 严重 | 1个链接 | 安全更新 | https://aka.ms/OfficeSecurityReleases |
| 2025年8月12日 | Microsoft SharePoint Server 2019 | - | 远程代码执行 | 严重 | 5002769, 5002770 | 安全更新 | 16.0.10417.20041 |
| 2025年8月12日 | Microsoft SharePoint Enterprise Server 2016 | - | 远程代码执行 | 严重 | 5002771, 5002772 | 安全更新 | 16.0.5513.1002 |
| 2025年8月12日 | Microsoft Office LTSC 2021 64位版本 | - | 远程代码执行 | 严重 | 1个链接 | 安全更新 | https://aka.ms/OfficeSecurityReleases |
修订历史
- 版本2.0(2025年10月16日):修订包以包含此漏洞的下载中心ID
- 版本1.0(2025年8月12日):信息发布
致谢
Microsoft感谢安全社区成员通过协调漏洞披露帮助保护客户所做的努力。
免责声明:Microsoft知识库中提供的信息"按原样"提供,不作任何担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。