该漏洞编号为 CVE-2026-42897,CVSS 评分为 8.1,影响所有版本的 Exchange Server 2016、2019 和订阅版 (SE)。它不会影响 Exchange Online。该缺陷是 Outlook Web Access 中的跨站点脚本 (XSS) 和欺骗问题。攻击者可以发送特制的电子邮件,当用户在特定条件下打开该电子邮件时,该电子邮件会在浏览器上下文中执行任意 JavaScript。
微软在其通报中表示:“在 Microsoft Exchange Server 中,网页生成(‘跨站点脚本’)过程中对输入的不正确中和使得未经授权的攻击者能够通过网络进行欺骗。”永久补丁尚不可用。微软正在指导管理员使用 Exchange 紧急缓解服务 (EEMS),该服务于 2021 年 9 月推出,此前国家支持的黑客组织利用 ProxyLogon 和 ProxyShell 零日漏洞破坏了暴露在互联网上的 Exchange 服务器。该服务作为邮箱服务器上的 Windows 服务运行,并且默认情况下处于启用状态。如果已处于活动状态,则缓解措施已自动应用。
管理员可以通过运行 Exchange 运行状况检查器脚本或检查 CVE-2026-42897 缓解措施的文档来进行验证。对于隔离或断开连接的环境,Microsoft 提供了手动选项:下载最新的 Exchange 本地缓解工具并通过提升的 Exchange Management Shell 运行 PowerShell 脚本。
有一个问题。运行早于 2023 年 3 月的 Exchange 版本的服务器无法通过 EEMS 接收新的缓解措施。这些缓解措施会带来副作用:OWA 打印日历可能会停止工作,内嵌图像可能无法在阅读窗格中正确显示,并且已弃用的 OWA 灯光模式会被完全破坏。
Microsoft 计划发布 Exchange SE RTM、Exchange 2016 CU23 以及 Exchange 2019 CU14 和 CU15 的补丁。但 Exchange 2016 和 2019 更新仅适用于注册第 2 期扩展安全更新计划的客户,从而使未经许可的本地服务器无法获得永久修复。一位匿名研究人员因报告该漏洞而受到赞誉。 Microsoft 尚未分享有关利用 CVE-2026-42897 的主动攻击的详细信息。
在过去五年中,CISA 在其漏洞目录中添加了 19 个 Exchange Server 漏洞积极利用缺陷,其中 14 个在勒索软件攻击中被滥用。 CVE-2026-42897 尚未添加到 CISA 的已知利用漏洞列表中。
