CERT-FR has issued a warning regarding multiple vulnerabilities in Microsoft Office products, including a security policy bypass flaw
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 11 février 2026 N° CERTFR-2026-AVI-0149 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans Microsoft Office Gestion du document Référence CERTFR-2026-AVI-0149 Titre Multiples vulnérabilités dans Microsoft Office Date de la première version 11 février 2026 Date de la dernière version 11 février 2026 Source(s) Bulletin de sécurité Microsoft Office CVE-2026-21258 du 10 février 2026 Bulletin de sécurité Microsoft Office CVE-2026-21259 du 10 février 2026 Bulletin de sécurité Microsoft Office CVE-2026-21260 du 10 février 2026 Bulletin de sécurité Microsoft Office CVE-2026-21261 du 10 février 2026 Bulletin de sécurité Microsoft Office CVE-2026-21511 du 10 février 2026 Bulletin de sécurité Microsoft Office CVE-2026-21514 du 10 février 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à la confidentialité des données Contournement de la politique de sécurité Élévation de privilèges Systèmes affectés Microsoft 365 Apps pour Enterprise pour systèmes 32 bits Microsoft 365 Apps pour Enterprise pour systèmes 64 bits Microsoft Excel 2016 (édition 32 bits) versions antérieures à 16.0.5539.1002 Microsoft Excel 2016 (édition 64 bits) versions antérieures à 16.0.5539.1002 Microsoft Office 2019 pour éditions 32 bits Microsoft Office 2019 pour éditions 64 bits Microsoft Office LTSC 2021 pour éditions 32 bits Microsoft Office LTSC 2021 pour éditions 64 bits Microsoft Office LTSC 2024 pour éditions 32 bits Microsoft Office LTSC 2024 pour éditions 64 bits Microsoft Office LTSC pour Mac 2021 versions antérieures à 16.106.26020821 Microsoft Office LTSC pour Mac 2024 versions antérieures à 16.106.26020821 Microsoft Outlook 2016 (édition 32 bits) versions antérieures à 16.0.5539.1002 Microsoft Outlook 2016 (édition 64 bits) versions antérieures à 16.0.5539.1002 Microsoft Word 2016 (édition 32 bits) versions antérieures à 16.0.5539.1002 Microsoft Word 2016 (édition 64 bits) versions antérieures à 16.0.5539.1002 Office Online Server versions antérieures à 16.0.10417.20097 Résumé De multiples vulnérabilités ont été découvertes dans Microsoft Office. Elles permettent à un attaquant de provoquer une élévation de privilèges, une atteinte à la confidentialité des données et un contournement de la politique de sécurité. Microsoft indique que la vulnérabilité CVE-2026-21514 est activement exploitée. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Microsoft Office CVE-2026-21258 du 10 février 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21258 Bulletin de sécurité Microsoft Office CVE-2026-21259 du 10 février 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21259 Bulletin de sécurité Microsoft Office CVE-2026-21260 du 10 février 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21260 Bulletin de sécurité Microsoft Office CVE-2026-21261 du 10 février 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21261 Bulletin de sécurité Microsoft Office CVE-2026-21511 du 10 février 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21511 Bulletin de sécurité Microsoft Office CVE-2026-21514 du 10 février 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21514 Référence CVE CVE-2026-21258 https://www.cve.org/CVERecord?id=CVE-2026-21258 Référence CVE CVE-2026-21259 https://www.cve.org/CVERecord?id=CVE-2026-21259 Référence CVE CVE-2026-21260 https://www.cve.org/CVERecord?id=CVE-2026-21260 Référence CVE CVE-2026-21261 https://www.cve.org/CVERecord?id=CVE-2026-21261 Référence CVE CVE-2026-21511 https://www.cve.org/CVERecord?id=CVE-2026-21511 Référence CVE CVE-2026-21514 https://www.cve.org/CVERecord?id=CVE-2026-21514