文章总结： Microsoft披露OfficeOLE缓解绕过漏洞CVE-2026-21509，攻击者可诱导用户打开恶意文档绕过安全措施并执行任意代码。该漏洞补丁发布仅三天后即遭APT28在野利用。受影响版本含Microsoft365及Office2016至2024。360已验证复现，建议立即安装官方安全更新或升级至指定版本，并重启应用以防护。 综合评分： 83 文章分类： 漏洞预警,漏洞分析,威胁情报,应急响应

【二次更新】预警公告3天后被武器化利用，Microsoft Office 远程代码执行漏洞 (CVE-2026-21509)

原创

360漏洞研究院 360漏洞研究院

360漏洞研究院

2026年2月4日 14:10 四川

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | Microsoft Office OLE 缓解绕过漏洞 | | | | 漏洞编号 | CVE-2026-21509 | | | | 公开时间 | 2026-01-26 | POC状态 | 已公开 | | 漏洞类型 | 安全功能绕过 | EXP状态 | 已公开 | | 利用可能性 | 高 | 技术细节状态 | 已公开 | | CVSS 3.1 | 7.8 | 在野利用状态 | 已发现 |

01

影响组件

Microsoft Office 作为全球核心办公套件，广泛应用于政企及个人终端。其内置的 OLE（对象链接与嵌入）技术在提升文档交互性的同时，也成为了此次漏洞影响的核心机制。受影响范围涵盖 Microsoft 365 订阅版及 Office 2016 至 2024 等多个主流长期服务版本。

02

漏洞描述

近日，Microsoft公开了Microsoft Office OLE 缓解绕过漏洞(CVE-2026-21509)，该漏洞是由于 Microsoft Office 在处理 Office 文件时未能正确校验不受信任的输入，导致攻击者能够绕过针对 COM/OLE 控件的安全缓解措施。值得警惕的是，在 1 月 26 日补丁发布仅三天后（1 月 29 日），Zscaler 等机构便监测到 APT28 组织利用该漏洞发起攻击，响应窗口极短。

早在 1 月 29 日攻击爆发前，我们已于北京时间 1 月 27 日（美东时间 1 月 26 日）发布了紧急安全风险通告，向用户提供预警信息与修补建议。

目前该漏洞已确认存在在野利用。远程攻击者无需特殊权限，仅需诱导用户打开恶意构造的 Office 文件，即可在目标系统上实现任意代码执行并获取系统完全控制权。注：预览窗格不构成此漏洞的攻击向量。

03

漏洞复现

360 漏洞研究院已复现Microsoft Office OLE 缓解绕过漏洞（CVE-2026-21509），经验证，攻击者可通过该漏洞在目标主机上执行任意代码。

图1：打开 Word 文件后显示的确认对话框，

点击“打开”即可触发漏洞利用

图2：CVE-2026-21509

Microsoft Office OLE 缓解绕过漏洞复现

04

漏洞影响范围

受影响软件版本（涵盖32位及64位）：

Microsoft 365 Apps for Enterprise

Microsoft Office LTSC 2024

Microsoft Office LTSC 2021

Microsoft Office 2019

Microsoft Office 2016

05

修复建议

正式防护方案：

1. 立即安装官方安全更新：

Microsoft已于2026年1月26日发布针对Office 2016和2019的安全更新。所有受影响版本的用户应立即通过Windows Update或Microsoft Update Catalog安装相应的安全补丁。

2. 版本升级：

Office 2016用户应升级至版本16.0.5539.1001或更高版本

Office 2019用户应升级至版本16.0.10417.20095或更高版本

Microsoft 365 Apps、Office LTSC 2021及2024用户应确保应用最新的Click to Run更新(详见https://aka.ms/OfficeSecurityReleases)

3. Office 2021及更高版本的自动保护：

运行Office 2021及更高版本的客户将通过服务端更改自动获得保护，但需要重启Office应用程序以使保护生效。

06

时间线

2026年1月27日，360漏洞研究院发布首次安全风险通告。

2026年2月4日，360漏洞研究院完成漏洞复现验证并发布安全预警。

07

参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509

08

更多漏洞情报

建议您订阅360数字安全-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

邮箱：[email protected]

网址：https://vi.loudongyun.360.net

“洞”悉网络威胁，守护数字安全

关于我们

360 漏洞研究院，隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”，并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个，收获诸多官方公开致谢。研究院也屡次受邀在BlackHat，Usenix Security，Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果，并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力，帮助各大企业厂商不断完善系统安全，为数字安全保驾护航，筑造数字时代的安全堡垒。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360漏洞研究院 360漏洞研究院 360漏洞研究院《【二次更新】预警公告3天后被武器化利用，Microsoft Office 远程代码执行漏洞 (CVE-2026-21509)》