經(jīng)典辦公軟件WPS Office近日被ESET披露存在兩個(gè)高危安全漏洞，編號(hào)分別為CVE-2024-7262和CVE-2024-7263，CVSS評(píng)分高達(dá)9.3。

鑒于漏洞的嚴(yán)重性，建議所有WPS用戶立即升級(jí)到最新版本（12.2.0.17153或更高版本）。

安全研究人員發(fā)現(xiàn)CVE-2024-7262漏洞已被利用，攻擊者通過(guò)分發(fā)帶有惡意代碼的電子表格文檔來(lái)觸發(fā)該漏洞，實(shí)現(xiàn)“單擊即中”的遠(yuǎn)程代碼執(zhí)行攻擊，可能導(dǎo)致數(shù)據(jù)失竊、勒索軟件感染或更嚴(yán)重的系統(tǒng)破壞。

漏洞位置均在WPS Office的promecefpluginhost.exe組件中，由于不恰當(dāng)?shù)穆窂津?yàn)證，攻擊者能夠加載并執(zhí)行任意的Windows庫(kù)文件。

盡管金山軟件針對(duì)CVE-2024-7262發(fā)布了補(bǔ)丁版本12.2.0.16909，但很快被發(fā)現(xiàn)修復(fù)不徹底，CVE-2024-7263漏洞利用了修復(fù)過(guò)程中忽略的參數(shù)，使攻擊者能夠繞過(guò)安全措施。

除了更新軟件版本外，用戶近期最好不打開(kāi)來(lái)源不明的文件，尤其是可能含有惡意代碼的電子表格和文檔。

此外還有未經(jīng)證實(shí)的消息表示，可能只有WPS國(guó)際版受到影響，國(guó)內(nèi)版本或不受影響，但出于安全考慮，還是建議升級(jí)到最新版本。