各部门、学院：

【风险描述】

近日监测发现，WPS Office for windows的内置浏览器存在逻辑漏洞，属于高危0day漏洞，攻击者可以利用该漏洞专门构造出恶意文档，受害者打开该文档并点击文档中的URL链接或包含了超级链接的图片时，存在漏洞版本的WPS Office会通过内嵌浏览器加载该链接，接着该链接中js脚本会通过cefQuery调用WPS端内API下载文件并打开文件，进而导致恶意文件在受害者电脑上被运行。

【影响范围】

WPS Office2023个人版<11.1.0.15120

WPS Office2019企业版<11.8.2.120 85

【处置建议】

1、请不要随意打开PPS、PPSX、PPT、PPTX、DOC、DOC X、XLS、XLSX文档。

2、请勿随意点击PPS、PPSX、PPT、PPTX、DOC、DOCX、XLS、XLSX文档中的URL链接或带URL超级链接的图片或视频等。

3、如果使用WPS打开PDF文件，请勿随意点击PDF中的URL链接或超级链接。

4、官方已发布相关补丁，如果在使用WPS Office企业版，请尽快联系官方技术工程师或客服获取最新版本，并确保企业版升级11.8.2.12085；如果使用的是WPS Office个人版，尽快通过WPS官网https://www.wps.cn/获取最新版本进行升级。

【响应要求】

该漏洞影响范围较大，请各单位及时核查使用情况，在确保安全的前提下尽快修补漏洞，防止发生安全事件。

网络中心

2023年8月13日