Katalog CVE

Aktywnie wykorzystywana w atakach

Microsoft Exchange Server Cross-Site Scripting Vulnerability

Microsoft — Microsoft · Figuruje w katalogu CISA KEV od 2026-05-15. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

CVE-2026-42897

WysokieCVSS 8.1KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Wysokie ryzyko
2.51%

Percentyl 83 — wyżej niż 83% wszystkich znanych CVE

Streszczenie

W Microsoft Exchange Server występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu 'cross-site scripting'. Taki błąd umożliwia nieautoryzowanemu atakującemu przeprowadzenie oszustwa w sieci.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przeprowadzenia ataków phishingowych lub kradzieży danych, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację Microsoft Exchange Server do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów zabezpieczających przed atakami XSS.

Oryginalny opis (angielski, źródło NVD)

Improper neutralization of input during web page generation ('cross-site scripting') in Microsoft Exchange Server allows an unauthorized attacker to perform spoofing over a network.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS