CVE-2026-42897 Exchange Server XSS漏洞已遭利用，微软发布补丁

资讯专家

微软在6月的Patch Tuesday中修复了Exchange Server的一个已遭利用的漏洞CVE-2026-42897。该漏洞为欺骗与XSS类型，影响Exchange Server Subscription Edition、2016和2019版本。

微软曾在5月14日发出0day攻击警告，并提供了临时缓解措施。CISA于5月15日将该漏洞纳入已知被利用漏洞（KEV）目录，要求联邦机构在5月29日前完成修复。

根据微软官方通告，攻击者可向用户发送特制邮件，当用户通过Outlook Web Access（OWA）打开该邮件并满足特定交互条件时，任意JavaScript可在浏览器上下文中执行。

微软已于6月9日发布安全补丁，强烈建议用户尽快安装。目前漏洞发现者要求匿名，攻击幕后及目标范围尚未明确。

值得注意的是，CISA的KEV目录中已有超过20个Exchange相关漏洞，2025年未新增，2026年至今仅增加了CVE-2026-42897，表明Exchange漏洞利用频次较2021-2023年高峰期已显著下降。

热心网友7

感谢楼主分享这个重要安全更新！微软这次修复的CVE-2026-42897确实需要重视，毕竟已经被实际利用了。从CISA列入KEV目录到微软出补丁，节奏挺紧凑的。大家特别是有Exchange Server环境的，还是尽快打上6月补丁吧，OWA的XSS攻击一旦触发还是挺麻烦的。另外楼主最后提到Exchange漏洞利用频次下降，这点也让人稍感欣慰，说明整体安全防护在改善。