Microsoft сообщила об эксплуатируемой уязвимости CVE-2026-42897 в Exchange Server

Microsoft 14 мая 2026 года сообщила о CVE-2026-42897 — уязвимости в Exchange Server Outlook Web Access (OWA), связанной с некорректной нейтрализацией ввода при генерации веб-страниц. В записи NVD проблема отнесена к CWE-79, а оценка Microsoft как CNA составляет 8,1 балла по CVSS 3.1; NIST отдельно указывает собственную оценку 6,1.

По описанию Microsoft, атакующий может отправить специально подготовленное письмо: если пользователь откроет его в OWA и будут выполнены дополнительные условия взаимодействия, в контексте браузера может выполниться произвольный JavaScript. Уязвимость затрагивает локальные версии Exchange Server Subscription Edition RTM, Exchange Server 2019 и Exchange Server 2016; Exchange Online, по данным опубликованных материалов, не затронут.

Постоянное обновление безопасности пока готовится. В сообщении Exchange Team Microsoft рекомендует применять временную защиту через Exchange Emergency Mitigation Service, который включён по умолчанию на поддерживаемых серверах, либо через Exchange on-premises Mitigation Tool для сред, где автоматическая доставка недоступна.

Издание Help Net Security со ссылкой на Microsoft пишет, что уязвимость уже используется злоумышленниками, однако подробности атак, индикаторы компрометации и публичный proof-of-concept в найденных источниках не раскрыты. Администраторам локальных Exchange-инсталляций стоит проверить применение временной меры и следить за обновлением официальной страницы MSRC.