吳明宜微軟於本周二釋出三月份 Patch Tuesday 安全更新,修補 79 個漏洞,包含兩個已公開的零時差漏洞。
在 79 項漏洞中,有三項為重大漏洞,其中兩項為遠端程式碼執行 (RCE) 、一項為資訊公開漏洞。兩個零時差漏洞雖然已公開,但尚未有遭濫用的跡象。這兩個漏洞分別是 CVE-2026-21262 及 CVE-2026-26127 。 CVE-2026-21262 為 SQL Server 權限提升 (EoP) 漏洞,主因為 SQL Server 存取控制不當,可讓未經授權的攻擊者提升網路存取權限。該漏洞 CVSSv3 風險分數達 8.8,由 Erland Sommarskog 發現。 CVE-2026-26127 則為 .NET 阻斷服務漏洞,屬於 .NET 的越界讀取 (out-of-bounds read) 問題,使攻擊者可引發服務中斷,CVSSv3 風險分數為 7.5 。
在被列為「重要」的漏洞中,微軟還修補了 Microsoft Office 中的兩個 RCE 漏洞,分別是 CVE-2026-26110 與 CVE-2026-26113 。兩者皆為記憶體處理不當漏洞,攻擊者可傳送惡意文件,受害者僅需預覽即可觸發,進而讓攻擊者執行程式碼,CVSSv3 分數為 8.3 。另外,CVE-2026-26144 可能造成 Excel 資訊洩漏,微軟特別提醒,此漏洞可經由 Copilot 透過不預期的網路出口外洩敏感資訊,且不需使用者互動,屬於 CVSS 分數 7.8 的零點擊 (Zero-click) 漏洞。
其他值得注意的漏洞包括 CVE-2026-23654 及 CVE-2026-26118 。 CVE-2026-23654 為影響 GitHub 儲存庫的 RCE 漏洞,主因是第三方套件 zero-shot-scfoundation 相依性控管不當,可能在 PyPI 儲存庫被代換成惡意套件,進而執行遠端程式碼,引發開發流程與 CI/CD 環境的風險。 CVE-2026-26118 則是影響 Azure Model Context Protocol (MCP) 工具的伺服器端請求偽造 (SSRF) 權限提升漏洞,可讓攻擊者提升網路權限。兩項漏洞的 CVSS 風險分數皆為 8.8 。
微軟已透過 Windows Update 、 Windows Server Update Services 及 Microsoft Update Catalog 釋出安全更新。
來源: Redmondmag