Laut Microsoft erlaubt CVE-2026-42897 Angriffe per speziell gestalteter E-Mail. Öffnet ein Nutzer diese Nachricht in Outlook Web Access und sind bestimmte Interaktionsbedingungen erfüllt, kann im Browser-Kontext beliebiger JavaScript-Code ausgeführt werden. Das Unternehmen beschrieb die Schwachstelle in einem Sicherheitshinweis als Kombination aus Spoofing- und Cross-Site-Scripting-Problem.
Betroffen sind Exchange Server Subscription Edition sowie Exchange Server 2016 und 2019. Microsoft hatte am 14. Mai vor laufenden Zero-Day-Angriffen gewarnt, die die Schwachstelle ausnutzen, und zu diesem Zeitpunkt zunächst nur temporäre Abhilfemaßnahmen bereitgestellt. Die eigentlichen Patches stellte der Konzern am 9. Juni bereit.
CISA reagierte kurz nach Microsofts Warnung und nahm CVE-2026-42897 am 15. Mai in den KEV-Katalog auf. Für Bundesbehörden ordnete die US-Behörde an, die Lücke bis zum 29. Mai zu beheben. Die Aufnahme in den Katalog unterstreicht, dass die Schwachstelle bereits praktisch ausgenutzt wurde.
Nach Angaben von Microsoft wurde die Schwachstelle von einem Sicherheitsforscher gemeldet, der anonym bleiben wollte. Unklar ist weiterhin, wer hinter den Angriffen steckt und auf welche Ziele sie sich richten. Weitere Details zu den laufenden Angriffen nannte das Unternehmen nicht.
Der Bericht verweist zudem auf die Entwicklung im KEV-Katalog von CISA: Dort sind inzwischen zwei Dutzend Exchange-Schwachstellen aufgeführt. Die Daten zeigen, dass die Ausnutzung von Exchange-Lücken zwischen 2021 und 2023 stark zugenommen hatte. Im Jahr 2025 kam jedoch kein neuer Exchange-Eintrag hinzu, und im Jahr 2026 ist bislang nur CVE-2026-42897 dazugekommen.
Das deutet laut den im Bericht genannten KEV-Daten darauf hin, dass die Ausnutzung von Exchange heute deutlich seltener ist als in den Spitzenjahren. An der aktuellen Einstufung von CVE-2026-42897 ändert das nichts: Microsoft bewertet die Lücke als aktiv ausgenutzt und hat nun reguläre Sicherheitsupdates veröffentlicht.