CVE-2026-42897｜Microsoft Exchange Server OWA跨站脚本漏洞

0x00 前言

Microsoft Exchange Server 是微软开发的企业级邮件服务器和协作平台，广泛应用于各类组织提供电子邮件、日历、联系人管理、任务调度、会议室预订等企业通信和协作服务，支持通过 Outlook 桌面客户端、Outlook Web Access (OWA) 网页端和移动设备等多种方式访问，是企业信息基础设施的核心组件之一。

0x01 漏洞描述

Microsoft Exchange Server的Outlook Web Access (OWA) 组件在生成网页时，未能对用户可控的输入（如邮件正文、发件人字段或特定邮件头）进行充分的输入验证和输出编码。

OWA在处理攻击者精心构造的包含恶意JavaScript代码的邮件内容时，错误地将其视为无害的HTML内容而直接输出到用户的浏览器中，攻击者可以绕过安全筛选机制，注入并执行任意脚本，从而劫持用户会话、窃取敏感信息或伪造用户身份。

0x02 CVE编号

CVE-2026-42897

0x03 影响版本

Exchange Server 2016 ≤ Cumulative Update 23 (CU23)
Exchange Server 2019 ≤ Cumulative Update 15 (CU15)
Exchange Server Subscription Edition (SE) ≤ RTM

0x04 漏洞详情

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897

0x05 参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897