Une nouvelle faille de sécurité importante, découverte dans Microsoft Outlook, expose les utilisateurs à des attaques Zero-click. Voici ce que vous devez savoir sur la CVE-2025-47176.

CVE-2025-47176 : une faille RCE préoccupante dans Outlook

Dans le cadre de son Patch Tuesday de juin 2025, Microsoft a corrigé 66 vulnérabilités. Parmi elles, il y a une faille de sécurité découverte dans Microsoft Outlook : la CVE-2025-47176.

Le client de messagerie Outlook est donc affecté par une faille considérée comme importante par Microsoft et associée à un score CVSS de 7.8 sur 10. Le cœur du problème réside dans une faiblesse de type “path traversal” qui permet à des attaquants d’exécuter du code localement sur les systèmes affectés en manipulant des séquences de chemins de fichiers, notamment via l’utilisation de .

“Tout attaquant authentifié peut déclencher cette vulnérabilité. Elle ne nécessite pas de privilèges d’administrateur ou d’autres privilèges élevés.“, précise Microsoft. L’entreprise américaine précise aussi qu’il s’agit d’une attaque locale, mais elle permet bien une exécution de code à distance. Il est précisé : “Le mot “Remote” (à distance) dans le titre fait référence à l’endroit où se trouve l’attaquant.“

De son côté, la société Morphisec, à l’origine de la découverte de cette faiblesse, évoque une vulnérabilité facile à exploiter, y compris dans un scénario d’attaque Zero-click, c’est-à-dire sans interaction de l’utilisateur.

Leur rapport alerte sur les risques liés à cette vulnérabilité que les chercheurs considèrent comme critique : “Microsoft l’a classé comme “important”, mais Morphisec le considère comme critique en raison de sa facilité d’exploitation – dépassant même en simplicité l’injection de formulaires RCE de l’année dernière – et de son potentiel d’impact à grande échelle.“

La bonne nouvelle, c’est que le volet de prévisualisation n’est pas un vecteur d’attaque. Par ailleurs, ce même rapport évoque aussi une autre vulnérabilité présente dans Outlook et dévoilée avec le Patch Tuesday de juin 2025 : CVE-2025-47171.

Comment se protéger ?

Pour se protéger de ces deux vulnérabilités découvertes par Shmuel Uzan, Michael Gorelik et Arnold Osipov de chez Morphisec, vous devez mettre à jour la suite Microsoft Office. Il est à noter que deux versions sont impactées :

• Microsoft 365 Apps for Enterprise
• Microsoft Office LTSC 2024

Dans un premier temps, Microsoft avait précisé : “Les mises à jour de sécurité pour Microsoft 365 ne sont pas immédiatement disponibles.” – Néanmoins, actuellement, le bulletin fait bien référence à des liens de version pour Microsoft 365 Apps et Office 2024.