各部门、学院:
【风险描述】
近日监测发现,WPS Office for windows的内置浏览器存在逻辑漏洞,属于高危0day漏洞,攻击者可以利用该漏洞专门构造出恶意文档,受害者打开该文档并点击文档中的URL链接或包含了超级链接的图片时,存在漏洞版本的WPS Officeku111net通过内嵌浏览器加载该链接,接着该链接中js脚本ku111net通过cefQuery调用WPS端内API下载文件并打开文件,进而导致恶意文件在受害者电脑上被运行。
【影响范围】
WPS Office2023个人版<11.1.0.15120
WPS Office2019企业版<11.8.2.120 85
【处置建议】
1、请不要随意打开PPS、PPSX、PPT、PPTX、DOC、DOC X、XLS、XLSX文档。
2、请勿随意点击PPS、PPSX、PPT、PPTX、DOC、DOCX、XLS、XLSX文档中的URL链接或带URL超级链接的图片或视频等。
3、如果使用WPS打开PDF文件,请勿随意点击PDF中的URL链接或超级链接。
4、官方已发布相关补丁,如果在使用WPS Office企业版,请尽快联系官方技术工程师或客服获取最新版本,并确保企业版升级11.8.2.12085;如果使用的是WPS Office个人版,尽快通过WPS官网https://www.wps.cn/获取最新版本进行升级。
【响应要求】
该漏洞影响范围较大,请各单位及时核查使用情况,在确保安全的前提下尽快修补漏洞,防止发生安全事件。
网络中心
2023年8月13日
检索
鲁公安网备37040002002001号