WPS Office 曝出两个严重漏洞,官方回应只影响海外版本且已修复

广泛使用的国产办公软件套件 WPS Office 近日被曝出存在两个严重的安全漏洞,可能导致用户遭受远程代码执行攻击。官方确认只影响 WPS Office 2023 海外版本,且两个漏洞已在后续版本中得到修复。 ​​​

根据 ESET 安全研究人员的报告,这两个漏洞均出现在 WPS Office 的 promecefpluginhost.exe 组件中,由于不恰当的路径验证,攻击者能够加载并执行任意的 Windows 库文件。这些漏洞已被标识为 CVE-2024-7262 和 CVE-2024-7263,且其 CVSS 评分高达9.3,表明其严重性和被利用的可能性非常高。

影响版本包括:

  • CVE-2024-7262:影响版本为12.2.0.13110至12.2.0.13489。
  • CVE-2024-7263:影响版本为12.2.0.13110至12.2.0.17153。

安全研究人员发现 CVE-2024-7262 漏洞已被利用,攻击者通过分发带有恶意代码的电子表格文档来触发该漏洞,实现“单击即中”的远程代码执行攻击,可能导致数据失窃、勒索软件感染或更严重的系统破坏。

鉴于这些漏洞的严重性以及CVE-2024-7262已被积极利用,建议所有 WPS Office 用户尽快将其软件更新至最新版本(12.2.0.17153 或更高版本)。这一更新是用户保护自己免受远程代码执行攻击的关键措施。

除了更新软件版本外,用户近期最好不打开来源不明的文件,尤其是可能含有恶意代码的电子表格和文档。

WPS Office 官方客服 8月20日午间通过官方微博作出回应:

尊敬的用户朋友,我们发现,NVD(美国国家漏洞数据库)公开了两个WPS Office漏洞,分别是CVE-2024-7262和CVE-2024-7263。

经核实,这两个漏洞只影响WPS Office 2023海外版本,其他版本均不受影响,且两个漏洞已于今年2月和4月发布的版本中修复。

据 WPS 官方网站(https://platform.wps.cn/)显示,WPS Office for Windows 版的最新版本为 12.1.0.17857 。

WPS Office 拥有超过2亿用户,使用者应密切关注软件发布的更新,并及时应用补丁,以降低被攻击的风险。企业用户尤其应警惕这些漏洞的利用,确保所有员工的 WPS Office 版本均为最新,防止因安全漏洞而导致的潜在损失。

突发:8月21日,WPS崩了,冲上热搜。有网友反映,今早使用WPS时出现在线文档无法使用等情况。

11时许,WPS在其微博进行了回应:今日上午,WPS出现服务故障,导致部分用户使用受到影响,目前已在逐步恢复中。如您在使用WPS的过程中遇到任何问题,请及时与我们联系。抱歉给大家工作日带来不便。

更新:15点30,WPS 再次回应:大家好,经工程师紧急修复,WPS服务已恢复。作为补偿,8月22日0点-24点,所有用户可以免费领取15天会员(您在最新版的WPS客户端搜索关键词「AI办公」,即可获取链接领取,具体规则见领取页面),抱歉给大家工作日带来不便。


历史上的今天:

相关推荐

WPS:所有用户的文档不会被用于任何 AI 训练目的

7 月 21 日消息,针对有网友在社交平台发文称“WPS 改版了用我们的文章喂给 AI 了”“WPS 疑似把我的审签内容喂给抖音豆包 AI”,WPS Office官方客服(@WPS客户服务)今天进行了公开回应,称不存在文档被用作 AI 训练的情况,与抖音豆包在 AI 层面未开展任何形式合作。 博文内容如下: 近日有部分用户反馈 WPS AI 相关问题, ...

新一波 Apple ID 钓鱼活动肆虐 威胁全球 14.6 亿 iPhone 用户

赛门铁克(Symantec)近日在其博客中揭露了一项针对苹果 Apple ID 的新型网络钓鱼攻击,此次攻击波及全球 14.6亿的 iPhone 用户。 根据赛门铁克的说法,攻击者伪装成苹果公司发送邮件和信息,利用网络钓鱼手法诱骗用户点击链接(如阅读有关 iCloud 的重要通知),进而窃取用户的敏感信息。 大多数钓鱼活动是通过邮件进行 ...

Google Chrome 浏览器紧急更新,修复 CVE-2024-4671 高危漏洞

Google Chrome 浏览器昨天获推 124.0.6367.201/202 版本更新,紧急修复了一项 CVE-2024-4671 高危漏洞,该漏洞据称已遭黑客利用,需要的用户可以点此下载最新版本。 Google 披露,他们在 5 月 7 日接收了匿名人士报告的相关漏洞,随即展开修复工作,这项 CVE-2024-4671 漏洞 CVSS 评分为 8.8,实际上是一个常见的“Use-af ...

WordPress Automatic 插件被曝高危漏洞,允许完全接管网站

近日,研究人员发现黑客正在试图利用 WordPress Automatic 插件的安全漏洞攻击网站,安全研究员表示,该漏洞允许完全接管网站,黑客们已经进行了数百万次攻击尝试。 WordPress Automatic 是款自动采集插件,有逾 3.8 万付费用户,可以从几乎任何网站采集内容(如文本、图像、视频)并自动发布到 WordPress。它可以使用它 ...

暂无评论

发表评论

您的电子邮件地址不会被公开,必填项已用*标注。