一、漏洞概要
漏洞名称 | Microsoft Office 安全功能绕过漏洞(CVE-2026-21509) |
发布时间 | 2026年1月27日 |
组件名称 | 微软-Office |
影响范围 | Microsoft Office 2016 Microsoft Office 2019 Microsoft Office LTSC 2021 Microsoft Office LTSC 2024 Microsoft 365 Apps for Enterprise |
漏洞类型 | 绕过认证 |
利用条件 | 1、用户认证:无需用户认证 2、前置条件:默认配置 3、触发方式:本地 |
综合评价 | <综合评定利用难度>:容易,无需授权即可绕过认证。 <综合评定威胁等级>:高危,可绕过身份认证。 |
官方解决方案 | 已发布 |
二、漏洞分析
2.1 组件介绍
Microsoft Office是由微软公司开发的全球领先的办公软件套件,其核心组件包括用于文字处理的Word、电子表格Excel、演示文稿PowerPoint,以及电子邮件管理Outlook和数据库应用Access等。该套件支持Windows、macOS及移动平台,并通过Microsoft 365云服务提供实时协作与高级功能,以其强大的兼容性、丰富的工具集和广泛的企业集成能力,成为个人与企业处理文档、数据分析和团队协作的基础生产力平台。
2.2 漏洞描述
2026年1月27日,深瞳漏洞实验室监测到一则微软-Office组件存在绕过认证漏洞的信息,漏洞编号:CVE-2026-21509,漏洞威胁等级:高危。
Microsoft Office 存在安全功能绕过漏洞,攻击者可利用此漏洞构造特制文档,以绕过Microsoft Office中用于防御不安全OLE对象的防护机制。攻击实施需诱使用户打开恶意Office文件,未经身份验证的攻击者可利用此漏洞发起攻击,该漏洞已被发现在野利用。
三、影响范围
目前受影响的微软-Office版本:
Microsoft Office 2016
Microsoft Office 2019
Microsoft Office LTSC 2021
Microsoft Office LTSC 2024
Microsoft 365 Apps for Enterprise
官方修复建议
官方已发布最新版本修复该漏洞,建议受影响用户将Microsoft Office更新到最新版本。