Romain Dumont

**Name of the Vulnerable Software and Affected Versions** Kingsoft WPS Office versions prior to 12.2.0.16909 **Description** The issue is related to improper verification of the digital signature in ksojscore.dll, allowing an attacker to load an arbitrary Windows library. **Recommendations** For versions prior to 12.2.0.16909, update to version 12.2.0.16909 or later to resolve the issue.

**Nome do software vulnerável e versões afetadas** Kingsoft WPS Office, versões 12.2.0.13110 a 12.2.0.17119 **Descrição** O problema está relacionado à validação incorreta do caminho no arquivo promecefpluginhost.exe, permitindo que um invasor carregue uma biblioteca arbitrária do Windows. Isso pode levar à execução de código arbitrário. O patch lançado para mitigar o problema não era restritivo o suficiente, e outro parâmetro não foi devidamente sanitizado, levando à execução de uma biblioteca arbitrária do Windows. **Recomendações** Para as versões do Kingsoft WPS Office de 12.2.0.13110 a 12.2.0.17119, atualize para uma versão posterior à 12.2.0.17119 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao arquivo promecefpluginhost.exe para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Kingsoft WPS Office, versões 12.2.0.13110 a 12.2.0.16412 **Descrição** O problema está relacionado à validação inadequada de caminhos no componente promecefpluginhost.exe do Kingsoft WPS Office, permitindo que um invasor carregue bibliotecas arbitrárias do Windows. Verificou-se que esta vulnerabilidade está sendo explorada na prática, com estimativas sugerindo que mais de 200 milhões de usuários estão em risco. A vulnerabilidade é explorada por meio de um documento de planilha enganoso que induz o usuário a clicar em um hiperlink oculto, acionando uma vulnerabilidade de execução de código. O grupo APT APT-C-60 foi identificado como explorador desta vulnerabilidade para implantar o backdoor SpyGlace, visando usuários em países do Leste Asiático. **Recomendações** Para as versões 12.2.0.13110 a 12.2.0.16412 do Kingsoft WPS Office, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere desativar o componente `promecefpluginhost.exe` até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar planilhas maliciosas que possam acionar a vulnerabilidade de execução de código. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade, mas a Kingsoft, desenvolvedora do WPS Office, já lançou um patch para a vulnerabilidade. Recomenda-se enfaticamente que os usuários atualizem seu software para a versão mais recente e tomem cuidado ao abrir