关于 Microsoft Excel 代码执行漏洞（CNVD-2025-21394/CVE-2025-54898）的网络安全预警通报

  近日，国家信息安全漏洞共享平台（CNVD）收录了 Microsoft Excel 存在的高风险代码执行漏洞，漏洞编号为 CNVD-2025-21394（对应 CVE 编号：CVE-2025-54898）。该漏洞危害级别高，影响多款 Microsoft Office 系列产品，攻击者可利用此漏洞在受影响系统上执行任意代码，对用户数据安全和系统稳定性构成严重威胁。为切实做好漏洞防范工作，保障相关系统和数据安全，现将有关情况通报如下：

一、漏洞基本情况

（一）漏洞编号

  CNVD-ID：CNVD-2025-21394

  CVE ID：CVE-2025-54898

（二）公开及危害信息

  公开日期：2025 年 09 月 17 日

  危害级别：高（CVSS 评分依据：AV:L/AC:L/Au:N/C:C/I:C/A:C，即本地访问向量、低攻击复杂度、无需身份验证，可导致完全的机密性破坏、完全的完整性破坏、完全的可用性破坏）

（三）影响产品范围

  该漏洞影响多款 Microsoft Office 系列产品，具体包括：

Microsoft Excel 2016

Microsoft Office Online Server

Microsoft Office 2019

Microsoft 365 Apps for Enterprise

Microsoft Office LTSC 2021

Microsoft Office LTSC for Mac 2021

Microsoft Office LTSC 2024

Microsoft Office LTSC for Mac 2024

（四）漏洞描述

  Microsoft Excel 是美国微软（Microsoft）公司推出的 Office 套件核心组件，广泛应用于电子表格数据处理、统计分析、报表生成等场景，在企业办公、个人数据管理等领域使用频率极高。

  此次披露的代码执行漏洞，源于 Microsoft Excel 在处理特定格式文件时存在逻辑缺陷。攻击者可通过构造恶意的 Excel 文件（如.xlsx、.xls 等格式），将其通过邮件附件、文件共享、钓鱼链接等方式诱导受害者打开。一旦受害者在受影响的 Excel 版本中打开该恶意文件，漏洞将被触发，攻击者可借此在受害者设备上执行任意代码，包括窃取设备中的敏感数据（如文档、账号密码）、植入恶意程序（如木马、勒索软件）、远程控制设备等操作，严重危害系统安全与数据 confidentiality。

二、漏洞风险分析

  影响范围广：漏洞覆盖从 2016 年到 2024 年多个版本的 Microsoft Excel 及 Office 套件，包括 Windows 和 macOS 双平台，涉及企业办公终端、个人计算机等大量设备，潜在受影响用户基数庞大。

  攻击门槛低：漏洞攻击复杂度低（AC:L），无需攻击者获取用户身份验证（Au:N），仅需通过社会工程学手段（如伪装成工作文档、报表文件）诱导用户打开恶意文件即可触发，易被黑客大规模利用。

  危害后果严重：漏洞可导致攻击者完全控制受影响设备（C:C/I:C/A:C），不仅会造成用户个人数据泄露，企业级用户还可能面临内部办公数据、业务数据被窃取或破坏的风险，甚至引发业务中断、供应链安全等连锁问题。

三、漏洞修复与防范建议

（一）优先进行漏洞修复

  微软官方已针对该漏洞发布修复程序，各单位及用户需立即采取以下措施：

  Windows 系统用户：打开 “设置 - 更新和安全 - Windows 更新”，检查并安装最新的系统更新及 Office 组件更新；或直接访问微软安全更新指南页面（https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54898），根据所使用的 Office 版本下载对应补丁进行安装。

  macOS 系统用户：打开 “App Store - 更新”，检查并安装 Microsoft Office for Mac 的最新更新；或通过 Microsoft 365 应用内 “帮助 - 检查更新” 功能获取并安装补丁。

  企业级用户：建议通过 Microsoft Endpoint Configuration Manager（MEMCM）、Intune 等设备管理工具，批量推送漏洞修复补丁，确保企业内部所有受影响终端均完成更新，避免遗漏。

（二）加强日常安全防护

  谨慎打开未知文件：不随意接收和打开来自陌生邮箱、不明链接、非信任渠道的 Excel 文件；即使是同事、合作伙伴发送的文件，若内容异常或未提前沟通，需先通过即时通讯工具确认文件安全性后再打开。

  启用 Office 安全功能：在 Excel 中开启 “Protected View（受保护视图）” 功能（默认开启，可通过 “文件 - 选项 - 信任中心 - 信任中心设置 - 受保护视图” 确认），该功能可在打开来自互联网或不可信位置的文件时自动启用隔离模式，降低漏洞触发风险。

强化终端安全防护：确保终端设备已安装并更新杀毒软件、终端检测与响应（EDR）工具，开启实时防护功能，对下载的文件进行扫描；定期对终端设备进行全盘病毒查杀，及时发现并清除潜在恶意程序。

  加强用户安全意识培训：企业级用户应组织员工开展网络安全意识培训，重点讲解 “恶意文件诱导攻击” 的常见手段（如伪装成合同、报表、数据统计文件），提升员工对钓鱼文件的识别能力，从源头减少漏洞被利用的可能性。

（三）做好应急响应准备

  应制定应急响应预案，若发现终端设备出现异常（如 Excel 频繁崩溃、设备运行缓慢、出现未知进程），需立即断开该设备与企业内网、互联网的连接，避免恶意代码扩散，并联系安全团队进行病毒查杀和系统排查。

若怀疑设备已被入侵，需及时备份重要数据（备份前需确认数据未被感染），并对受影响设备进行系统重装或恢复出厂设置，彻底清除恶意程序后再恢复数据使用。

四、参考信息

  如需获取更多漏洞技术细节、补丁下载链接及官方安全建议，可访问以下链接：

微软安全响应中心（MSRC）漏洞详情页：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54898

国家信息安全漏洞共享平台（CNVD）漏洞详情页：https://www.cnvd.org.cn/flaw/show/CNVD-2025-21394

  请广大师生高度重视此次漏洞风险，务必在 2025 年 09 月 24 日前完成所有受影响设备的补丁更新及安全防护配置，切实保障信息系统与数据安全。如有相关问题，可咨询微软官方技术支持或当地网络安全应急响应机构。