Microsoft は 5 月 14 日、オンプレミス版 Exchange Server の Outlook on the Web (OWA) に存在するクロスサイトスクリプティング由来のなりすまし脆弱性 CVE-2026-42897 (CVSS 8.1) を開示し、攻撃者が既に悪用しているとして注意喚起しました。恒久パッチは作成中で、暫定の Emergency Mitigation (EM) Service 経由の緩和適用が現時点で唯一の防御策です。
主なポイント
- 影響を受けるのはオンプレミスの Exchange Server Subscription Edition RTM / 2019 / 2016。Exchange Online は対象外
- 攻撃者は細工した HTML メールを送付し、OWA で開いた利用者のブラウザ上で任意の JavaScript を実行することで、なりすましやセッション悪用が可能
- Microsoft は EM Service に M2.1.x として緩和ロジックを配布。EM Service を無効化している組織は即時有効化を強く推奨
- 緩和の副作用として OWA の「カレンダー印刷」機能が動作しなくなる、受信者側 OWA でインライン画像の表示が崩れる等の既知問題あり
- 恒久修正のセキュリティ更新プログラム (SU) は近日中の配布予定。SU 公開までは EM 緩和の維持と OWA のアクセス制御強化が回避手段となる
出典: Unpatched Microsoft Exchange Server vulnerability exploited (CVE-2026-42897) — Help Net Security