Microsoft Outlook 漏洞可导致攻击者远程执行任意代码

        Microsoft Outlook 电子邮件客户端中的一个重大安全漏洞可能允许攻击者远程执行任意代码，即使他们需要本地访问来触发漏洞。 该漏洞编号为 CVE-2025-47176，于 2025 年 6 月 10 日发布，严重等级为“重要”，CVSS 评分为 7.8。 该漏洞影响广泛使用的电子邮件应用程序，并对企业和个人用户构成巨大风险，特别是考虑到该漏洞只需要低级权限即可利用，并且一旦触发无需用户交互即可运行。

Microsoft Outlook 路径遍历漏洞 (CVE-2025-47176)

        该漏洞主要涉及 Microsoft Office Outlook 中的“.../...//”序列的路径遍历问题，使授权攻击者能够在受影响的系统上本地执行代码。根据微软的技术分析，该漏洞利用代码携带CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H向量字符串，表明该漏洞属于本地攻击向量，复杂度要求较低。 尽管属于本地分类，但微软强调这构成远程代码执行(RCE) 漏洞，因为“远程”一词指的是攻击者的位置，而不是执行方法。该漏洞的影响涉及所有三个核心安全原则：机密性、完整性和可用性，每个原则在 CVSS 评估中均被评为“高”。 这一全面的影响概况表明，成功利用该漏洞可能导致系统完全被攻陷，从而使攻击者能够访问敏感数据、修改系统配置，甚至可能导致系统不可用。 所需权限 (PR:L) 指标表明任何经过身份验证的用户都可以触发此漏洞，而无需管理或提升权限，从而大大扩大了潜在的攻击面。Morphisec 的安全研究人员（包括 Shmuel Uzan、Michael Gorelik 和 Arnold Osipov）通过协调披露实践发现并报告了此漏洞。

         该漏洞机制涉及使用目录遍历序列操纵文件路径，这是一种通常与任意代码执行 (ACE) 攻击相关的技术。 虽然攻击媒介被归类为本地（AV：L），但实际影响允许远程代码执行场景，攻击者可以利用该漏洞在目标系统上运行恶意代码。重要的是，微软已经确认预览窗格不是此漏洞的攻击媒介，这可能会限制通常依赖于被动内容渲染的某些利用场景。 用户交互 (UI:N) 评级表明，一旦满足初始条件，成功利用就不需要进一步的用户干预。目前的威胁情报表明，该漏洞在微软发布声明之前尚未公开披露，并且尚未观察到野外主动利用的情况，可利用性评估将利用可能性评定为“不太可能”。

        微软已经承认CVE-2025-47176 的严重性，但表示Microsoft 365的安全更新不会立即提供。 该公司承诺“尽快”发布补丁，并将在更新可用时通过修改 CVE 信息通知客户。 补丁发布的延迟加剧了组织实施补偿性安全措施和密切监控其 Outlook 部署的紧迫性。

        组织应优先监控可疑的 Outlook 行为，尽可能实施额外的访问控制，并准备在安全更新可用时快速部署。 鉴于低权限要求和高影响潜力，此漏洞代表着重大的安全隐患，需要在其通信基础设施中使用 Microsoft Outlook 的所有部门的 IT 安全团队立即关注。