近日发现最新漏洞威胁：Microsoft Exchange Server OWA跨站脚本漏洞CVE-2026-42897

【漏洞详情】

Microsoft Exchange Server 的 Outlook Web Access (OWA) 组件在生成网页时，未能对用户可控的输入（如邮件正文、发件人字段或特定邮件头）进行充分的输入验证和输出编码。OWA 在处理攻击者精心构造的包含恶意 JavaScript 代码的邮件内容时，错误地将其视为无害的 HTML 内容而直接输出到用户的浏览器中，攻击者可以绕过安全筛选机制，注入并执行任意脚本，从而劫持用户会话、窃取敏感信息或伪造用户身份。

目前受影响的微软-Exchange Server版本：        

Exchange Server 2016 ≤ Cumulative Update 23 (CU23)

Exchange Server 2019 ≤ Cumulative Update 15 (CU15)

Exchange Server Subscription Edition (SE) ≤ RTM

微软目前尚未发布正式补丁，但提供了两种临时缓解方案。

参考链接：https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498

1、利用默认启用的 Exchange 紧急缓解服务（EEMS）：Exchange Server 联网后，微软会自动通过该服务推送缓解规则，管理员通常无需手动操作，只需运行 Exchange Health 检查脚本: https://aka.ms/ExchangeHealthChecke 确认状态即可。

2、对于无法使用紧急缓解服务（例如无法联网）的客户，可通过以下流程手动启用缓解措施：

从以下地址下载最新版本的 Exchange 本地缓解工具（EOMT）：

https://aka.ms/UnifiedEOMT

在已提权的 Exchange 命令行管理程序（EMS）中运行脚本，可按单台服务器或一次性对所有服务器应用缓解：

单台服务器：

.\EOMT.ps1 -CVE "CVE-2026-42897" 

所有服务器：

Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"