微軟已確認其Web分布式創作和版本控制（WebDAV）實現中存在一個嚴重的零日漏洞正遭攻擊者野外利用，這促使微軟在2025年6月的補丁星期二發布緊急安全更新。

該漏洞編號為CVE-2025-33053，屬于嚴重的遠程代碼執行（RCE）缺陷，允許未經授權的攻擊者通過外部控制WebDAV中的文件名或路徑，通過網絡執行任意代碼。此安全漏洞影響所有受支持的微軟Windows版本，使其成為當前補丁周期中修復范圍最廣的漏洞之一。

微軟在安全公告中表示："WebDAV中文件名或路徑的外部控制允許未經授權的攻擊者通過網絡執行代碼。"該漏洞被評定為"重要"嚴重等級，成功利用需要用戶交互。

野外活躍利用現狀

Check Point Research的安全研究人員發現該漏洞并報告了野外活躍利用的證據。攻擊媒介要求受害者點擊特制的WebDAV URL，從而觸發遠程代碼執行漏洞。

微軟在解釋利用方法時表示："用戶需要點擊特制的URL才會被攻擊者入侵。"盡管需要用戶交互，但由于該漏洞可能導致整個系統淪陷，仍構成重大風險。

該漏洞影響廣泛的微軟系統，微軟已為Windows 10、Windows 11和各種Windows Server版本分發補丁。

微軟2025年6月的補丁星期二共修復了66個漏洞，CVE-2025-33053是本次修復的兩個零日漏洞之一。

WebDAV組件通過與Microsoft Edge中的Internet Explorer模式以及其他應用程序中的WebBrowser控件集成，顯著擴大了攻擊面。

微軟指出，雖然Internet Explorer 11在某些平臺上已停用，但底層的MSHTML平臺仍受支持且存在漏洞。

鑒于已確認野外利用，安全專家強烈建議立即部署可用補丁。

該漏洞延續了近年來威脅行為體日益針對WebDAV相關安全問題的趨勢。

使用舊版Windows系統和啟用Internet Explorer兼容模式的機構面臨更高風險。

微軟建議安裝僅安全更新的客戶同時安裝相應的IE累積更新，以確保完全防范此漏洞。