微软已修复 Exchange Server 中一个正在被积极利用的跨站脚本（XSS）漏洞，编号为 CVE-2026-42897，该漏洞主要针对 Outlook Web Access 发起攻击。漏洞影响 Exchange Server 2016、2019 及订阅版（SE），远程未授权攻击者可通过发送特制邮件来执行任意 JavaScript。用户在 OWA 中打开此类邮件并满足特定交互条件时，漏洞被触发。微软于五月中旬通过 Exchange 紧急缓解服务（EEMS）自动部署了临时缓解措施，随后在 2026 年 6 月左右发布了永久安全更新。CISA 已于 5 月 15 日将此漏洞列入被利用漏洞清单，要求联邦机构在 5 月 29 日前完成修补。过去五年中，共有 20 个 Exchange Server 漏洞被 CISA 列入该清单，其中 14 个被勒索软件组织利用。去年 10 月，在 Exchange Server 2016 和 2019 停止支持后，CISA 与 NSA 联合发布了强化 Exchange 服务器的指南。微软敦促管理员尽快安装 2026 年 6 月安全更新，并保留临时缓解措施以构建纵深防御。

关键事实

• CVE-2026-42897 是 Exchange Server 中正被利用的 XSS 漏洞。
• 影响 Exchange Server 2016、2019 和订阅版（SE）。
• 远程未授权攻击者通过 OWA 中的特制邮件执行 JS。
• 微软在临时缓解措施后于 2026 年 6 月发布永久补丁。
• CISA 将漏洞列入被利用清单，要求联邦机构 5 月 29 日前修补。