Уязвимость в Microsoft Exchange Server позволяет выполнить JavaScript в OWA при открытии письма

В Microsoft Exchange Server обнаружена уязвимость CVE‑2026‑42897, связанная с некорректной обработкой пользовательского ввода при генерации веб‑страниц в Outlook Web Access. Уязвимость относится к классу cross‑site scripting. Если жертва открывает письмо через OWA, злоумышленник потенциально может получить контроль над почтовым ящиком в рамках активной OWA‑сессии и прав пользователя.

Уязвимость уже эксплуатируется в реальных атаках: CISA добавила CVE‑2026‑42897 в каталог Known Exploited Vulnerabilities 15 мая 2026 года.

• Уязвимость затрагивает Outlook Web Access в локальных установках Exchange Server.
• Атакующий может отправить специально сформированное письмо, при открытии которого через OWA в браузере пользователя выполнится произвольный JavaScript‑код.
• Это не серверная RCE в Exchange: публичные источники описывают риск как выполнение JavaScript в аутентифицированной OWA‑сессии пользователя, а не как прямое выполнение кода на сервере Exchange.

Затронуты локальные версии Microsoft Exchange Server:

• Exchange Server Subscription Edition.
• Exchange Server 2019.
• Exchange Server 2016.

Microsoft выпустила временную митигацию через Exchange Emergency Mitigation Service. Полноценный патч пока что недоступен и находится в разработке.

BI.ZONE EASM может выявить экземпляры Outlook Web App на внешнем периметре IT‑инфраструктуры.

Платформа помогает:

• регулярно проверять наличие доступных из интернета приложений OWA;
• выявлять неучтенные и забытые почтовые серверы.

Это позволяет оперативно оценить риск и своевременно принять меры для митигации уязвимости.

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897
• https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897