Microsoft
Die Schwachstelle betrifft Microsoft Exchange Server und liegt in der Erzeugung von Webseiten durch Outlook Web Access, die webbasierte Oberfläche für den Zugriff auf Postfächer. Eingaben werden dort beim Aufbau der Webseite nicht ausreichend bereinigt, sodass es sich um eine Cross-Site-Scripting-Schwachstelle handelt: Ein Angreifer kann eigenen Skriptcode einschleusen, der unter bestimmten Voraussetzungen im Browser eines Nutzers ausgeführt wird. Sind die nötigen Interaktionsbedingungen erfüllt, läuft beliebiger JavaScript-Code im Kontext der Browsersitzung des Opfers ab – also mit dessen Rechten innerhalb der Webanwendung. Auf diesem Weg kann der Angreifer über das Netzwerk eine Täuschung (Spoofing) durchführen, etwa indem er Inhalte vortäuscht oder Aktionen im Namen des Nutzers anstößt. Betroffen sind Organisationen, die Exchange Server mit erreichbarem Outlook Web Access betreiben; gefährdet sind die Anwender, die sich über diese Oberfläche anmelden.
Setzen Sie die vom Hersteller beschriebenen Gegenmaßnahmen um. Stehen keine Gegenmaßnahmen zur Verfügung, sollte der Einsatz des Produkts eingestellt werden.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Microsoft schließt aktiv ausgenutzte Exchange-Schwachstelle CVE-2026-42897 11.06.2026
- Artikel Microsoft schließt aktiv ausgenutzte Exchange-Server-Lücke in Outlook Web Access 10.06.2026
- Artikel Microsoft schließt im Juni 2026 sechs Zero-Days und 200 Schwachstellen 09.06.2026
- Artikel Microsoft: Zwei aktiv ausgenutzte Schwachstellen in Defender 21.05.2026
- Artikel Aktiv ausgenutzte Zero-Day-Lücke in Microsoft Exchange – noch kein Patch verfügbar 18.05.2026
- Artikel Aktiv ausgenutzte Zero-Day-Lücke in On-Premises-Exchange-Servern 18.05.2026
- Artikel Microsoft warnt vor aktiv ausgenutzter Zero-Day-Lücke in Exchange Server 15.05.2026
- Artikel Microsoft warnt vor aktiv ausgenutzter Zero-Day-Lücke in Exchange Server 15.05.2026