各部门、学院:
【风险描述】
近日监测发现,wps office for windows的内置浏览器存在逻辑漏洞,属于高危0day漏洞,攻击者可以利用该漏洞专门构造出恶意文档,受害者打开该文档并点击文档中的url链接或包含了超级链接的图片时,存在漏洞版本的wps office会通过内嵌浏览器加载该链接,接着该链接中js脚本会通过cefquery调用wps端内api下载文件并打开文件,进而导致恶意文件在受害者电脑上被运行。
【影响范围】
wps office2023个人版<11.1.0.15120
wps office2019企业版<11.8.2.120 85
【处置建议】
1、请不要随意打开pps、ppsx、ppt、pptx、doc、doc x、xls、xlsx文档。
2、请勿随意点击pps、ppsx、ppt、pptx、doc、docx、xls、xlsx文档中的url链接或带url超级链接的图片或视频等。
3、如果使用wps打开pdf文件,请勿随意点击pdf中的url链接或超级链接。
4、官方已发布相关补丁,如果在使用wps office企业版,请尽快联系官方技术工程师或客服获取最新版本,并确保企业版升级11.8.2.12085;如果使用的是wps office个人版,尽快通过wps876cc棋牌官网https://www.wps.cn/获取最新版本进行升级。
【响应要求】
该漏洞影响范围较大,请各单位及时核查使用情况,在确保安全的前提下尽快修补漏洞,防止发生安全事件。
网络中心
2023年8月13日
鲁公安网备37040002002001号