Aktywnie wykorzystywana w atakach
Microsoft Office Security Feature Bypass Vulnerability
Microsoft — Office · Figuruje w katalogu CISA KEV od 2026-01-26. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
CVE-2026-21509
WysokieCVSS 7.8KEVPrawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 99 — wyżej niż 99% wszystkich znanych CVE
Streszczenie
Zaufanie do niezweryfikowanych danych wejściowych w decyzji bezpieczeństwa w Microsoft Office umożliwia nieautoryzowanemu atakującemu lokalne obejście funkcji zabezpieczeń.
Ocena ryzyka
Organizacja może być narażona na lokalne ataki, które mogą prowadzić do nieautoryzowanego dostępu do danych lub funkcji w Microsoft Office.
Rekomendacja
Zaleca się przegląd i wzmocnienie mechanizmów walidacji danych wejściowych w aplikacjach Microsoft Office oraz regularne aktualizowanie oprogramowania.
Oryginalny opis (angielski, źródło NVD)
Reliance on untrusted inputs in a security decision in Microsoft Office allows an unauthorized attacker to bypass a security feature locally.

