更新時間:2026/05/18 12:27:42
發佈時間:2026/05/18 12:27:42
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Microsoft Exchange Server存在一項跨網站指令碼漏洞(CVE-2026-42897,CWE-79)。該漏洞源於Outlook Web Access(OWA)介面於網頁產生過程中,未適當過濾輸入內容。未經身分驗證的攻擊者可利用此漏洞寄送特製電子郵件,當受害者於OWA開啟該郵件並符合特定互動條件時,即可於瀏覽器中執行任意JavaScript程式碼。
二、已揭露攻擊活動說明
1. Microsoft表示已觀察此漏洞遭利用情形。
2. CISA已納入漏洞利用清單。[2]
▶ 漏洞資訊
⌵
名稱:
CVE-2026-42897
描述:
使用版本:CVSS 3.1
分析分數:8.1
參考來源:Microsoft
▶ 影響平台
⌵
影響平台-系統:
1. Microsoft表示目前正開發與測試正式修補程式,待符合品質標準後將正式發布,影響版本如下:
(1)Microsoft Exchange Server 2016(所有更新版本)。
(2)Microsoft Exchange Server 2019(所有更新版本)。
(3)Microsoft Exchange Server Subscription Edition(所有更新版本)。
▶ 建議措施
⌵
1. 建議持續關注Microsoft後續發布的正式安全更新,並依單位內漏洞管理機制進行相關作業。
2. Microsoft已透過Exchange Emergency Mitigation Service(EEMS)針對受影響版本發布自動緩解措施(緩解措施編號:M2.1.x),已啟用EEMS的Exchange Server將自動套用相關緩解措施。[3]
3. 若Exchange Server未啟用EEMS,或處於無法連線至外部網路的隔離環境,建議下載Exchange On-premises Mitigation Tool(EOMT),並透過提升權限的Exchange Management Shell(EMS)執行EOMT腳本,於單一或多部Exchange Server套用相關緩解措施。[3][4]
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897 | Microsoft |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 3 | https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498 | Microsoft緩解措施 |
| 4 | https://microsoft.github.io/CSS-Exchange/Security/EOMT/ | Microsoft Exchange On-premises Mitigation Tool (EOMT) |
情資編號:
FISAC-200-202605-0006
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞