2026-01-29 10:41:26 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： MicrosoftOffice存在高危安全功能绕过漏洞CVE-2026-21509，攻击者可构造特制文档绕过对不安全OLE对象的防护机制，该漏洞已在野利用。影响Office2016至365等多个版本，建议用户尽快更新至官方最新版本进行修复，同时关闭未使用功能并遵循最小权限原则以降低风险。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,办公安全,解决方案

cover_image

【漏洞通告】Microsoft Office 安全功能绕过漏洞(CVE-2026-21509)

深瞳漏洞实验室深瞳漏洞实验室

深信服千里目安全技术中心

2026年1月28日 16:42 北京

漏洞名称：

Microsoft Office 安全功能绕过漏洞(CVE-2026-21509)

组件名称：

微软-Office

影响范围：

Microsoft Office 2016 Microsoft Office 2019 Microsoft Office LTSC 2021 Microsoft Office LTSC 2024 Microsoft 365 Apps for Enterprise

漏洞类型：

绕过认证

利用条件：

1、用户认证：无需用户认证

2、前置条件：默认配置

3、触发方式：本地

综合评价：

<综合评定利用难度>：容易，无需授权即可绕过认证。

<综合评定威胁等级>：高危，可绕过身份认证。

官方解决方案：

已发布

漏洞分析

组件介绍

Microsoft Office是由微软公司开发的全球领先的办公软件套件，其核心组件包括用于文字处理的Word、电子表格Excel、演示文稿PowerPoint，以及电子邮件管理Outlook和数据库应用Access等。该套件支持Windows、macOS及移动平台，并通过Microsoft 365云服务提供实时协作与高级功能，以其强大的兼容性、丰富的工具集和广泛的企业集成能力，成为个人与企业处理文档、数据分析和团队协作的基础生产力平台。

漏洞简介

2026年1月27日，深瞳漏洞实验室监测到一则微软-Office组件存在绕过认证漏洞的信息，漏洞编号：CVE-2026-21509，漏洞威胁等级：高危。

Microsoft Office 存在安全功能绕过漏洞，攻击者可利用此漏洞构造特制文档，以绕过Microsoft Office中用于防御不安全OLE对象的防护机制。攻击实施需诱使用户打开恶意Office文件，未经身份验证的攻击者可利用此漏洞发起攻击，该漏洞已被发现在野利用。

影响范围

目前受影响的微软-Office版本：

Microsoft Office 2016 Microsoft Office 2019 Microsoft Office LTSC 2021 Microsoft Office LTSC 2024 Microsoft 365 Apps for Enterprise

解决方案

官方修复建议

1、官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户将Microsoft Office更新到最新版本。参考链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509

临时修复建议

关闭未使用的功能模块，减少潜在攻击入口。
遵循最小权限原则，严控各类敏感操作权限范围。
非必要不暴露服务到公网，限制访问源为可信范围。
定期更新系统及各类组件至安全版本，及时修补已知隐患。

深信服解决方案

风险资产发现

支持对微软-Office的主动检测，可批量检出业务场景中该事件的受影响资产情况，相关产品如下：

【深信服统一端点安全管理系统aES】已发布资产检测方案，指纹ID:0001936。

参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509

时间轴

2026/01/27

深瞳漏洞实验室监测到Microsoft Office 安全功能绕过漏洞信息。

2026/01/28

深瞳漏洞实验室发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：深信服千里目安全技术中心深瞳漏洞实验室深瞳漏洞实验室《【漏洞通告】Microsoft Office 安全功能绕过漏洞(CVE-2026-21509)》