文章总结： 微软发布Office高危漏洞CVE-2026-21509安全更新，该漏洞CVSS评分7.8，已在野利用。漏洞源于OLE对象防护机制缺陷，攻击者可通过特制文档绕过防御并执行恶意代码。影响Office2016至365等多个版本。建议用户立即升级至最新版本，并关闭非必要OLE功能以防范风险。 综合评分： 80 文章分类： 漏洞预警,办公安全,漏洞分析

Microsoft Office 安全功能绕过漏洞预警（CVE-2026-21509）

邑安科技 邑安科技

邑安全

2026年1月28日 17:41 广东

更多全球网络安全资讯尽在邑安全

一、 漏洞概述

2026 年 01 月 27 日，深瞳漏洞实验室监测到微软发布Office 套件 0Day 漏洞紧急安全更新，该漏洞编号为：CVE-2026-21509，CVSS 评分为 7.8 分，漏洞威胁等级：高危。

该漏洞为已在野利用的 0Day 漏洞，直击 Office 处理对象链接与嵌入（OLE）控件的核心机制 —— 因 Office 中防御不安全 OLE 对象的防护机制存在缺陷，攻击者可构造特制 Office 文档，诱使用户打开后绕过关键防御措施，触发恶意代码执行。无需用户认证即可发起攻击，对个人及企业办公环境风险极高。

二、 漏洞分析

Microsoft Office 安全功能绕过漏洞

漏洞编号: CVE-2026-21509

漏洞类型: 安全功能绕过（OLE 对象防护机制绕过）

简述: 该漏洞存在于 Office 的安全防护模块中，默认配置下即可触发。攻击者通过构造包含恶意 OLE 对象的 Office 文档（如 Word、Excel），诱使用户打开后，可绕过 Office 对不安全 OLE 对象的拦截机制，直接执行恶意内容。

利用难度容易（无需授权、默认配置即可触发），且已出现在野利用案例，结合社会工程学传播（如邮件附件、共享文档），可快速扩散至企业办公网络。

三、 影响版本

| | | | — | — | | 漏洞 | 影响版本 | | CVE-2026-21509 | Microsoft Office 2016 Microsoft Office 2019 Microsoft Office LTSC 2021 Microsoft Office LTSC 2024 Microsoft 365 Apps for Enterprise |

四、 防护方案

修复建议：

1、官方升级修复：微软已发布安全更新修复该漏洞，建议受影响用户立即将 Microsoft Office 升级至最新版本，参考链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509。

2、临时防护措施：

关闭 Office 中未使用的功能模块（如非必要的 OLE 对象支持），减少攻击入口；

遵循最小权限原则，限制 Office 程序的系统操作权限；

非必要不将办公文档共享至公网，仅允许可信来源的文档访问；

定期检查并更新 Office 及系统至安全版本，及时修补已知漏洞。

五、 时间线

2026 年 01 月 27 日：深瞳漏洞实验室监测到该漏洞信息，微软同步发布漏洞通告及修复更新；

2026 年 01 月 27 日：该漏洞被披露已存在在野利用案例。

六、 相关链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509

欢迎收藏并分享朋友圈，让五邑人网络更安全

欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！

推荐文章

1

新永恒之蓝？微软SMBv3高危漏洞（CVE-2020-0796）分析复现

2

重大漏洞预警：ubuntu最新版本存在本地提权漏洞（已有EXP）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：邑安全 邑安科技 邑安科技《Microsoft Office 安全功能绕过漏洞预警（CVE-2026-21509）》