CVE-2026-42897 — Exchange Server OWA XSS 重大漏洞
概覽
| 欄位 | 資訊 |
|---|
| 漏洞編號 | CVE-2026-42897 |
| CVSS 評分 | 8.1(重大) |
| 揭露日期 | 2026-05-14 |
| 狀態 | 野外利用活動已確認(Exploited in the wild) |
| 修補狀態 | 尚無正式修補程式 |
技術細節
漏洞位於 Exchange OWA(Outlook Web Access)的 XSS 機制。攻擊者寄送特製電子郵件,受害者在 OWA 開啟後,可在瀏覽器當前權限執行任意 JavaScript,允許未授權攻擊者進行偽冒攻擊(spoofing)。
受影響範圍
- Exchange Server 2016
- Exchange Server 2019
- Exchange Server 訂閱版(SE)
- ❌ Exchange Online 不受影響
監管與合規
- CISA 已列入 KEV(已知遭利用漏洞)清單
- 聯邦機構須於 2026年5月29日前完成緩解措施
緩解措施
方式一:Exchange 緊急風險降低(EM)服務
- 套用 IIS URL Rewrite 規則
- 停用存在漏洞的 Exchange 服務與相關 App Pool
方式二:手動 EOMT 指令碼
- 下載最新版 Exchange on-premises Mitigation Tool(EOMT)
- 透過提升權限的 Exchange Management Shell(EMS) 執行對應指令碼
- 可針對單台或所有伺服器套用
修補計畫
| 版本 | 對象 |
|---|
| Exchange Server 2019 CU14 / CU15 | 僅限 ESU 計畫用戶 |
| Exchange Server 2016 CU23 | 僅限 ESU 計畫用戶 |
| Exchange SE RTM | 公開發布 |
相關實體
來源文章