PT-2021-3041 · Microsoft · Office+3
Kdot
·
Publicado
2021-05-11
·
Atualizado
2023-12-29
·
CVE-2021-31177
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Microsoft Office (versões afetadas não especificadas)
Microsoft 365 Apps for Enterprise (versões afetadas não especificadas)
Microsoft Excel (versões afetadas não especificadas)
Microsoft Office Web Apps Server (versões afetadas não especificadas)
Descrição
O problema está relacionado ao uso de memória após ela ter sido liberada, o que pode ser explorado por um invasor remoto para executar código arbitrário usando um arquivo especialmente criado. Isso pode ocorrer durante a análise de arquivos XLS do Microsoft Excel. A vulnerabilidade permite que invasores remotos executem código arbitrário.
Recomendações
Para o Microsoft Office, considere restringir o uso da análise de arquivos XLS do Microsoft Excel até que uma correção esteja disponível.
Para o Microsoft 365 Apps for Enterprise, evite usar arquivos potencialmente maliciosos de fontes não confiáveis para minimizar o risco de exploração.
Para o Microsoft Excel, como solução alternativa temporária, considere desativar a análise de arquivos XLS até que uma correção esteja disponível.
Para o Microsoft Office Web Apps Server, restrinja o acesso ao servidor para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
RCE
Use After Free
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
365 Apps For Enterprise
Office Excel
Office
Office Web Apps Server