Aktywnie wykorzystywana w atakach
Microsoft Exchange Server Cross-Site Scripting Vulnerability
Microsoft — Microsoft · Figuruje w katalogu CISA KEV od 2026-05-15. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
CVE-2026-42897
WysokieCVSS 8.1KEVPrawdopodobieństwo exploitacji (EPSS)
Wysokie ryzykoPercentyl 83 — wyżej niż 83% wszystkich znanych CVE
Streszczenie
W Microsoft Exchange Server występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu 'cross-site scripting'. Taki błąd umożliwia nieautoryzowanemu atakującemu przeprowadzenie oszustwa w sieci.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do przeprowadzenia ataków phishingowych lub kradzieży danych, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację Microsoft Exchange Server do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów zabezpieczających przed atakami XSS.
Oryginalny opis (angielski, źródło NVD)
Improper neutralization of input during web page generation ('cross-site scripting') in Microsoft Exchange Server allows an unauthorized attacker to perform spoofing over a network.

