PT-2021-2035 · Microsoft · Office Excel+4
Publicado
2021-02-09
·
Atualizado
2023-12-29
·
CVE-2021-24070
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Microsoft Excel (versões afetadas não especificadas)
Microsoft Office (versões afetadas não especificadas)
Microsoft 365 Apps for Enterprise (versões afetadas não especificadas)
Microsoft Office Web Apps Server (versões afetadas não especificadas)
Microsoft Office Online Server (versões afetadas não especificadas)
Descrição:
O problema está relacionado à validação insuficiente de entradas nos produtos da Microsoft, o que pode permitir que um invasor remoto execute código arbitrário. Isso pode ser feito através da exploração de uma vulnerabilidade do tipo “use-after-free” na análise de arquivos XLS no Microsoft Excel.
Recomendações:
Para o Microsoft Excel, considere restringir a abertura de arquivos XLS de fontes não confiáveis até que uma correção esteja disponível.
Para o Microsoft Office, aplique alterações de configuração para minimizar o risco de exploração, como desativar a execução de macros de fontes não confiáveis.
Para o Microsoft 365 Apps for Enterprise, o Office Web Apps Server e o Office Online Server, restrinja o acesso a componentes vulneráveis para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
RCE
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
365 Apps For Enterprise
Office Excel
Office
Office Online Server
Office Web Apps Server