Microsoft đã phát hành bản vá cho CVE-2026-26110 trong đợt Patch Tuesday ngày 10/3/2026. Đây là lỗi type confusion trên Microsoft Office có thể dẫn tới thực thi mã trên máy nạn nhân, với điểm CVSS 8.4 và mức độ rủi ro đủ cao để các đội IT ưu tiên xử lý sớm.

Tổng quan lỗ hổng

CVE-2026-26110 ảnh hưởng tới Microsoft Office và được mô tả là lỗi type confusion thuộc CWE-843. Theo hồ sơ CVE của Microsoft và NVD, kẻ tấn công không cần đặc quyền trước đó, lỗi có độ phức tạp khai thác thấp và có thể dẫn tới thực thi mã cục bộ trên hệ thống bị ảnh hưởng.

Điểm cần lưu ý khi đánh giá rủi ro

Điểm đáng lo là dù vector CVSS được chấm là local, một số hãng phân tích cho biết Microsoft đánh giá Preview Pane cũng có thể là đường kích hoạt, nghĩa là người dùng có thể gặp rủi ro ngay cả khi chưa mở hẳn tài liệu độc hại. Tại thời điểm phát hành bản vá, lỗi này chưa bị ghi nhận khai thác thực tế và được đánh giá ở mức Exploitation Less Likely, nhưng vẫn là một trong những lỗi Office nổi bật của đợt vá tháng 3/2026.

Khuyến nghị xử lý

• Cài ngay bản cập nhật Office tháng 3/2026 qua kênh cập nhật chính thức hoặc hệ thống quản trị bản vá tập trung.
• Với các môi trường doanh nghiệp thường xuyên nhận email, file đính kèm và dùng Preview Pane, bản vá này nên được xếp ưu tiên cao trong lịch triển khai.