CVE-2026-42897 — Exchange Server OWA XSS 重大漏洞

概覽

欄位資訊
漏洞編號CVE-2026-42897
CVSS 評分8.1(重大)
揭露日期2026-05-14
狀態野外利用活動已確認(Exploited in the wild)
修補狀態尚無正式修補程式

技術細節

漏洞位於 Exchange OWA(Outlook Web Access)的 XSS 機制。攻擊者寄送特製電子郵件,受害者在 OWA 開啟後,可在瀏覽器當前權限執行任意 JavaScript,允許未授權攻擊者進行偽冒攻擊(spoofing)。

受影響範圍

  • Exchange Server 2016
  • Exchange Server 2019
  • Exchange Server 訂閱版(SE)
  • ❌ Exchange Online 不受影響

監管與合規

  • CISA 已列入 KEV(已知遭利用漏洞)清單
  • 聯邦機構須於 2026年5月29日前完成緩解措施

緩解措施

方式一:Exchange 緊急風險降低(EM)服務

  • 套用 IIS URL Rewrite 規則
  • 停用存在漏洞的 Exchange 服務與相關 App Pool

方式二:手動 EOMT 指令碼

  • 下載最新版 Exchange on-premises Mitigation Tool(EOMT)
  • 透過提升權限的 Exchange Management Shell(EMS) 執行對應指令碼
  • 可針對單台或所有伺服器套用

修補計畫

版本對象
Exchange Server 2019 CU14 / CU15僅限 ESU 計畫用戶
Exchange Server 2016 CU23僅限 ESU 計畫用戶
Exchange SE RTM公開發布

相關實體

來源文章