7月8日微软发布每月例行更新（Patch Tuesday），总共修补130项漏洞，数量仅次于一月份的159个，为今年以来的第二多，也较上个月67个增加快一倍。从漏洞的类型来看，权限提升漏洞最多，有53个，其次是远端程序码执行（RCE）漏洞，有41个；其余为资讯洩露、安全功能绕过、阻断服务（DoS），以及可被用于欺骗的漏洞，分别有18个、8个、6个、4个。根据漏洞的严重程度而言，有11个被评为重大层级，它们全部都是RCE漏洞，其中又以Office漏洞最多，有4个。

根据CVSS评分，最严重的是CVE-2025-47981，此漏洞存在于SPNEGO Extended Negotiation Security Mechanism（NEGOEX）安全机制，攻击者可传送恶意讯息到服务器触发漏洞，从而能够远端执行任意程序码，风险值达到9.8（满分10分）。虽然微软并未说明漏洞细节，但长期观察、分析微软每月例行更新的资安业者Rapid7、漏洞悬赏专案Zero Day Initiative（ZDI），皆特别提出警告。Rapid7指出，此为预先身分验证漏洞，代表攻击者能藉此取得特殊权限，而且微软认为很快就会有人试图利用，用户应儘速安装更新程序；ZDI指出利用过程无需使用者互动，而且该漏洞具备蠕虫特质。

另一项Rapid7与ZDI警告的资安漏洞，是存在于SharePoint的重大漏洞CVE-2025-49704，一旦攻击者成为网站的所有者，就有机会在SharePoint服务器写入任意程序码并注入，或是远端执行程序码，CVSS风险评为8.8。Rapid7指出，微软提及攻击者需取得网站所有者的权限，却又表明不需要额外的权限提升，相当不寻常；ZDI透露这项漏洞是在Pwn2Own Berlin 2025找到，相当危险，因为攻击者能透过网路进行程序码注入，不过，想利用该漏洞，需满足一个必要条件，那就是需事先通过部分层级的身分验证。

附带一提，在7月例行安全更新公告中，CVE-2025-49719是在微软修补前就已经被公开的零时差漏洞，存在于SQL Server，为高风险层级的资讯洩露漏洞，起因是输入验证不当，未经授权的攻击者能透过网路洩露资讯，CVSS风险为7.5分，究竟该漏洞能被用来窃取什么样的资讯，微软并未直接说明，仅透露能从未初始化的记忆体窃取资料，后续影响有待观察。