5月14日微軟揭露Exchange Server重大漏洞CVE-2026-42897,並指出已遭到利用,6月9日微軟更新公告內容,呼籲用戶儘速安裝Exchange的2026年6月安全更新來防範漏洞。不過,對於已採取緩解措施的用戶,該公司也指出不僅要安裝修補程式,緩解措施應予以保留,理由是該措施提供額外的防禦能力。該公司強調,更新程式不會自動移除相關緩解措施。
CVE-2026-42897為欺騙(Spoofing)類型的弱點,攻擊者可藉此發送特製的電子郵件給用戶,一旦使用者透過Outlook Web Access開啟並執行特定的互動,攻擊者就有機會透過瀏覽執行任意JavaScript指令碼,CVSS風險評為8.1分。
