2026 年 01 月 27 日，深瞳漏洞实验室监测到微软发布Office 套件 0Day 漏洞紧急安全更新，该漏洞编号为：CVE-2026-21509，CVSS 评分为 7.8 分，漏洞威胁等级：高危。该漏洞为已在野利用的 0Day 漏洞，直击 Office 处理对象链接与嵌入（OLE）控件的核心机制 —— 因 Office 中防御不安全 OLE 对象的防护机制存在缺陷，攻击者可构造特制 Office 文档，诱使用户打开后绕过关键防御措施，触发恶意代码执行。无需用户认证即可发起攻击，对个人及企业办公环境风险极高。

Microsoft Office 安全功能绕过漏洞 漏洞编号: CVE-2026-21509 漏洞类型: 安全功能绕过（OLE 对象防护机制绕过） 简述: 该漏洞存在于 Office 的安全防护模块中，默认配置下即可触发。攻击者通过构造包含恶意 OLE 对象的 Office 文档（如 Word、Excel），诱使用户打开后，可绕过 Office 对不安全 OLE 对象的拦截机制，直接执行恶意内容。 利用难度容易（无需授权、默认配置即可触发），且已出现在野利用案例，结合社会工程学传播（如邮件附件、共享文档），可快速扩散至企业办公网络。

漏洞	影响版本

CVE-2026-21509
|
Microsoft Office 2016 Microsoft Office 2019 Microsoft Office LTSC 2021 Microsoft Office LTSC 2024 Microsoft 365 Apps for Enterprise

修复建议： 1、官方升级修复：微软已发布安全更新修复该漏洞，建议受影响用户立即将 Microsoft Office 升级至最新版本，参考链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509。 2、临时防护措施： 关闭 Office 中未使用的功能模块（如非必要的 OLE 对象支持），减少攻击入口； 遵循最小权限原则，限制 Office 程序的系统操作权限； 非必要不将办公文档共享至公网，仅允许可信来源的文档访问； 定期检查并更新 Office 及系统至安全版本，及时修补已知漏洞。

2026 年 01 月 27 日：深瞳漏洞实验室监测到该漏洞信息，微软同步发布漏洞通告及修复更新； 2026 年 01 月 27 日：该漏洞被披露已存在在野利用案例。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）