漏洞关键信息 标题: (0Day) Soda PDF Desktop Word File Insufficient UI Warning Remote Code Execution Vulnerability ID: ZDI-25-1087, ZDI-CAN-27496 CVE ID: CVE-2025-14414 CVSS 评分: 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) 受影响的厂商: Soda PDF 受影响的产品: Desktop 漏洞详情: - 此漏洞允许远程攻击者在受影响的 Soda PDF Desktop 安装上执行任意代码。利用此漏洞需要用户交互,目标必须访问恶意页面或打开恶意文件。 - 具体的漏洞存在于 Word 文件的处理中,允许执行危险的脚本而没有用户警告。攻击者可以利用此漏洞在当前用户的上下文中执行代码。 附加详情: - 2025-08-26: ZDI 向 Avanquest 的支持团队报告了漏洞 - 2025-09-11: ZDI 索要更新 - 2025-11-04: ZDI 索要更新 - 2025-11-21: 厂商表示不提供漏洞赏金 - 2025-12-04: ZDI 通知厂商将在 12/11/25 发布 0-day 通告 - 缓解措施: 由于漏洞的性质,唯一的有效缓解策略是限制与产品的交互 披露时间线: - 2025-08-26: 向厂商报告漏洞 - 2025-12-11: 协调公开发布通告 - 2025-12-11: 通告更新 致谢: kimiya