1. 漏洞背景
Microsoft Outlook 是美国微软(Microsoft)公司开发的一款广泛使用的电子邮件客户端。近期发现 Microsoft Outlook 存在一个路径遍历漏洞,攻击者可能利用此漏洞在用户系统上执行任意代码。该漏洞已被收录为 CVE-2025-47176,CVSS 评分为 7.8,被评定为“高”危级别。
2. 漏洞详情
CVE-2025-47176 是一个路径遍历漏洞,根源在于 Microsoft Office Outlook 在处理路径时存在“...”和“//”等序列的遍历问题。攻击者可以通过利用此漏洞,在已授权的情况下,在受影响的系统上本地执行代码。尽管攻击向量被归类为本地,但该漏洞可实现远程代码执行(RCE),因为“远程”指的是攻击者的位置而非执行方式。预览窗格并非此漏洞的攻击向量。
目前受影响的产品为 Microsoft Outlook。
3. 漏洞影响
远程代码执行风险:攻击者一旦成功利用此漏洞,可能导致在用户系统上执行任意代码,包括植入恶意程序、窃取敏感数据以及获取系统控制权。
高危安全威胁:由于漏洞允许在用户不知情的情况下执行代码,对系统的机密性、完整性和可用性构成严重威胁。
业务连续性风险:作为广泛使用的通信工具,Outlook 的漏洞可能导致数据泄露或系统不可用,影响用户和企业的正常运营。
4. 处置建议