微軟已確認(rèn)其Web分布式創(chuàng)作和版本控制（WebDAV）實(shí)現(xiàn)中存在一個(gè)嚴(yán)重的零日漏洞正遭攻擊者野外利用，這促使微軟在2025年6月的補(bǔ)丁星期二發(fā)布緊急安全更新。

該漏洞編號(hào)為CVE-2025-33053，屬于嚴(yán)重的遠(yuǎn)程代碼執(zhí)行（RCE）缺陷，允許未經(jīng)授權(quán)的攻擊者通過(guò)外部控制WebDAV中的文件名或路徑，通過(guò)網(wǎng)絡(luò)執(zhí)行任意代碼。此安全漏洞影響所有受支持的微軟Windows版本，使其成為當(dāng)前補(bǔ)丁周期中修復(fù)范圍最廣的漏洞之一。

微軟在安全公告中表示："WebDAV中文件名或路徑的外部控制允許未經(jīng)授權(quán)的攻擊者通過(guò)網(wǎng)絡(luò)執(zhí)行代碼。"該漏洞被評(píng)定為"重要"嚴(yán)重等級(jí)，成功利用需要用戶交互。

野外活躍利用現(xiàn)狀

Check Point Research的安全研究人員發(fā)現(xiàn)該漏洞并報(bào)告了野外活躍利用的證據(jù)。攻擊媒介要求受害者點(diǎn)擊特制的WebDAV URL，從而觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。

微軟在解釋利用方法時(shí)表示："用戶需要點(diǎn)擊特制的URL才會(huì)被攻擊者入侵。"盡管需要用戶交互，但由于該漏洞可能導(dǎo)致整個(gè)系統(tǒng)淪陷，仍構(gòu)成重大風(fēng)險(xiǎn)。

該漏洞影響廣泛的微軟系統(tǒng)，微軟已為Windows 10、Windows 11和各種Windows Server版本分發(fā)補(bǔ)丁。

微軟2025年6月的補(bǔ)丁星期二共修復(fù)了66個(gè)漏洞，CVE-2025-33053是本次修復(fù)的兩個(gè)零日漏洞之一。

WebDAV組件通過(guò)與Microsoft Edge中的Internet Explorer模式以及其他應(yīng)用程序中的WebBrowser控件集成，顯著擴(kuò)大了攻擊面。

微軟指出，雖然Internet Explorer 11在某些平臺(tái)上已停用，但底層的MSHTML平臺(tái)仍受支持且存在漏洞。

鑒于已確認(rèn)野外利用，安全專家強(qiáng)烈建議立即部署可用補(bǔ)丁。

該漏洞延續(xù)了近年來(lái)威脅行為體日益針對(duì)WebDAV相關(guān)安全問(wèn)題的趨勢(shì)。

使用舊版Windows系統(tǒng)和啟用Internet Explorer兼容模式的機(jī)構(gòu)面臨更高風(fēng)險(xiǎn)。

微軟建議安裝僅安全更新的客戶同時(shí)安裝相應(yīng)的IE累積更新，以確保完全防范此漏洞。