Microsoft Word 远程执行代码漏洞

CVE编号

CVE-2020-1446

利用情况

暂无

补丁情况

N/A

披露时间

2020-07-14
漏洞描述
Microsoft Word是美国微软(Microsoft)公司的一套Office套件中的文字处理软件。<br />
Microsoft Word存在远程代码执行漏洞。该漏洞源于程序没有正确处理内存对象。攻击者利用该漏洞可借助特制的文件在当前用户的安全上下文中执行操作。以下产品及版本受到影响:Microsoft 365 Apps for Enterprise;Office 2010 SP2、Office 2016 for Mac、Office 2019、Office 2019 for Mac、Office Online Server、Office Web Apps 2010 SP2、Office Web Apps 2013 SP1、SharePoint Enterprise Server 2013 SP1、SharePoint Enterprise Server 2016、SharePoint Server 2010 SP2、SharePoint Server 2019、Word 2010 SP2、Word 2013 RT SP1、Word 2013 SP1、Word 2016版本。

解决建议
厂商已提供漏洞修补方案,请关注厂商主页及时更新:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1446
参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-1446
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1446
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 microsoft 365_apps - -
运行在以下环境
应用 microsoft office 2010 -
运行在以下环境
应用 microsoft office 2016 -
运行在以下环境
应用 microsoft office 2019 -
运行在以下环境
应用 microsoft office_online_server 1.0 -
运行在以下环境
应用 microsoft office_web_apps 2010 -
运行在以下环境
应用 microsoft office_web_apps 2013 -
运行在以下环境
应用 microsoft sharepoint_enterprise_server 2013 -
运行在以下环境
应用 microsoft sharepoint_enterprise_server 2016 -
运行在以下环境
应用 microsoft sharepoint_server 2010 -
运行在以下环境
应用 microsoft sharepoint_server 2019 -
运行在以下环境
应用 microsoft word 2010 -
运行在以下环境
应用 microsoft word 2013 -
运行在以下环境
应用 microsoft word 2016 -
运行在以下环境
应用 microsoft word_rt 2013 -
CVSS3评分
8.8
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
    需要
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CWE-ID 漏洞类型
CWE-119 内存缓冲区边界内操作的限制不恰当
NVD-CWE-noinfo
阿里云安全产品覆盖情况