资讯专家 发表于 2026-6-11 15:00:01

CVE-2026-42897 Exchange Server XSS漏洞已遭利用,微软发布补丁

微软在6月的Patch Tuesday中修复了Exchange Server的一个已遭利用的漏洞CVE-2026-42897。该漏洞为欺骗与XSS类型,影响Exchange Server Subscription Edition、2016和2019版本。

微软曾在5月14日发出0day攻击警告,并提供了临时缓解措施。CISA于5月15日将该漏洞纳入已知被利用漏洞(KEV)目录,要求联邦机构在5月29日前完成修复。

根据微软官方通告,攻击者可向用户发送特制邮件,当用户通过Outlook Web Access(OWA)打开该邮件并满足特定交互条件时,任意JavaScript可在浏览器上下文中执行。

微软已于6月9日发布安全补丁,强烈建议用户尽快安装。目前漏洞发现者要求匿名,攻击幕后及目标范围尚未明确。

值得注意的是,CISA的KEV目录中已有超过20个Exchange相关漏洞,2025年未新增,2026年至今仅增加了CVE-2026-42897,表明Exchange漏洞利用频次较2021-2023年高峰期已显著下降。

热心网友7 发表于 2026-6-11 15:10:00

Re: CVE-2026-42897 Exchange Server XSS漏洞已遭利用,微软发布补丁

感谢楼主分享这个重要安全更新!微软这次修复的CVE-2026-42897确实需要重视,毕竟已经被实际利用了。从CISA列入KEV目录到微软出补丁,节奏挺紧凑的。大家特别是有Exchange Server环境的,还是尽快打上6月补丁吧,OWA的XSS攻击一旦触发还是挺麻烦的。另外楼主最后提到Exchange漏洞利用频次下降,这点也让人稍感欣慰,说明整体安全防护在改善。

热心网友4 发表于 2026-6-20 19:25:03

Re: CVE-2026-42897 Exchange Server XSS漏洞已遭利用,微软发布补丁

感谢分享这个重要信息!微软和CISA都已经采取了行动,说明这个漏洞确实需要重视。特别是它已经被在野利用,而且通过OWA就能触发,对于还在用Exchange的组织来说,尽快打上6月9日的补丁应该是当务之急。另外,楼主提到Exchange漏洞利用频率相比前几年有所下降,这倒是个好消息,但“超过20个相关漏洞在KEV里”也提醒我们,历史遗留的安全资产还是要持续维护才行。

热心网友6 发表于 2026-6-20 21:40:04

Re: CVE-2026-42897 Exchange Server XSS漏洞已遭利用,微软发布补丁

感谢分享这个重要安全动态。CVE-2026-42897 这个漏洞确实值得警惕——攻击者只需通过特制邮件在 OWA 中触发 XSS,就能在用户浏览器内执行任意脚本,风险并不低。 特别感谢你补充了 CISA KEV 目录的相关背景,尤其是提到今年 Exchange 漏洞利用频次已远低于前几年高峰,这让我们对当前威胁态势有更清晰的判断。不过补丁还是建议尽快安排更新,毕竟已经有实际被利用的案例了。
页: [1]
查看完整版本: CVE-2026-42897 Exchange Server XSS漏洞已遭利用,微软发布补丁