Microsoft Access 远程代码执行漏洞

此 RCE 漏洞允许攻击者通过构造恶意文件，利用相对路径遍历绕过安全限制，在受影响的 Microsoft Access 实例上执行任意代码。攻击者可能利用此漏洞获取对系统的控制权，窃取敏感数据，或进行进一步的恶意活动。由于 Access 经常用于存储和处理敏感信息，例如财务数据和客户信息，因此该漏洞的潜在影响非常严重。攻击者可能利用此漏洞访问数据库中的数据，并将其泄露给未经授权的第三方。

Organizations heavily reliant on Microsoft Access for data management, particularly those with legacy Access databases or those that allow users to open Access files from external sources, are at heightened risk. Shared hosting environments where multiple users access the same Access database are also particularly vulnerable.

• windows / supply-chain:

Get-Process -Name "MSACCESS"
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-Access' and (EventID=1001)]]]"

• windows / server:

reg query "HKCU\Software\Microsoft\Office\16.0\Access\Security" /v AllowAccessToFilesFromDifferentTrustZone

• generic web: Inspect Access files received from external sources for suspicious relative path references.

1. 2025-12-09Disclosure

   disclosure

1. 已保留2025-10-15
2. 发布日期2025-12-09
3. 修改日期2026-04-16
4. EPSS 更新日期2026-03-23

缓解此漏洞的首要措施是立即更新 Microsoft Access 至包含修复程序的最新版本，可通过 https://aka.ms/OfficeSecurityReleases 获取。如果无法立即更新，可以考虑以下临时缓解措施：限制对 Access 数据库的访问权限，仅允许授权用户访问；实施严格的文件验证措施，防止恶意文件进入系统；使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求。更新后，请验证修复是否成功，例如通过尝试触发漏洞并确认其已被修复。