文章总结： 微软Teams披露CVE-2026-32185安全漏洞，攻击者可利用文件目录访问缺陷实施本地欺骗攻击，诱骗用户信任恶意内容。该漏洞CVSS评分5.5，需用户交互且无特权要求，微软已发布Android版补丁（版本1.0.0.2026092103），建议用户立即更新以防护敏感数据。 综合评分： 78 文章分类： 漏洞分析,应用安全,漏洞预警,终端安全,威胁情报

Microsoft Teams 漏洞可导致黑客实施欺骗攻击

FreeBuf

2026年5月13日 19:03 上海

在小说阅读器读本章

去阅读

#

微软 Teams 近日披露的安全漏洞可能允许攻击者伪造本地设备，这对依赖该平台进行日常通信的企业和个人用户构成安全隐患。

2026年5月12日，微软通过协调披露机制在其月度补丁日公告中公开了该漏洞（CVE-2026-32185）。该漏洞暴露了 Microsoft Teams 处理文件和目录访问时的关键缺陷，攻击者可借此操纵或伪装应用程序内的可信元素。

Part01

漏洞技术分析

该漏洞本质源于 Microsoft Teams 中的文件或目录可被外部访问。这种错误配置使未经授权的本地攻击者能够实施欺骗攻击，诱骗用户信任看似合法的恶意内容或通信。

虽然攻击需要用户交互且仅限于本地攻击媒介，但其对数据机密性的潜在影响被评为”高危”，这对敏感的企业环境构成严重威胁。该漏洞 CVSS 3.1 基础评分为5.5，环境调整后评分为4.8，微软将其严重性评级为”重要”。

值得注意的是，利用此漏洞无需任何特权，这降低了攻击者在共享或已遭入侵的本地环境中实施攻击的门槛。截至发布日期，该漏洞尚未被公开披露或发现在野利用。

Part02

修复与缓解措施

微软已通过 Google Play 商店为 Android 版 Microsoft Teams 发布安全更新（已修复版本号：1.0.0.2026092103）。微软将漏洞可利用性评估为”不太可能被利用”，且尚未确认存在 PoC 利用代码。修复级别标记为”官方补丁”，意味着相关更新已发布。

安全研究人员 Ofek Levin（来自 Enclave）通过协调披露机制向微软报告了该漏洞。建议用户和管理员立即通过 Google Play 商店更新至最新版本。在受监管或高安全性环境中部署 Microsoft Teams 的组织应优先处理此补丁，特别是将 Teams 用于业务通信的移动终端设备。

参考来源：

Microsoft Teams Vulnerability Allows Hackers to Perform Spoofing Attacks

Microsoft Teams Vulnerability Allows Hackers to Perform Spoofing Attacks

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Microsoft Teams 漏洞可导致黑客实施欺骗攻击》