آسیبپذیری بدون کلیک (zero-click) حیاتی با شناسه CVE-2025-21298 و امتیاز CVSS 9.8 در Windows Object Linking and Embedding (OLE)، اجرای کد از راه دور (RCE) را از طریق ایمیلهای ساختهشده خاص، فعال میکند.
مهاجمان با ارسال ایمیل مخرب حاوی یک سند RTF نقص امنیتی مذکور را اکسپلویت میکنند که میتواند منجر به ایجاد خطرات قابلتوجهی برای کاربران و سازمانها شود. هنگام باز کردن یا پیش نمایش ایمیل Microsoft Outlook توسط قربانی، این آسیبپذیری فعال و امکان اجرای کد دلخواه را روی سیستم آسیبپذیر برای نفوذگر فراهم میشود. این آسیبپذیری در کتابخانه ole32.dll، بهویژه در تابع «UtOlePresStmToContentsStm» قرار دارد که وظیفه تبدیل دادههای جریان OlePres در حافظه OLE را به دادههای فرمتبندی شده مناسب و درج آن در جریان «محتوای» در همان حافظه دارد.
یک PoC در دسترس قرار گرفته که نشاندهنده باگ خرابی حافظه است که منجر به این آسیبپذیری میشود.
https://www.offsec.com/blog/cve-2025-21298/
