Auf den Punkt: CVE-2026-42897 ermöglicht per E-Mail ausgelöste JavaScript-Ausführung in Outlook Web Access und wird bereits angegriffen.
Microsoft hat eine bereits aktiv in Angriffen ausgenutzten Sicherheitslücke (CVE-2026-42897, CVSS 8.1) in On-Premise Exchange Server-Installationen bestätigt. Die Schwachstelle basiert auf unzureichender Validierung von Eingaben beim Rendern von Webseiten und ermöglicht Spoofing-Angriffe über präparierte E-Mails.
Die Lücke betrifft eine Cross-Site-Scripting-Schwachstelle (XSS) in Microsoft Exchange Server. Laut Microsoft-Sicherheitsempfehlung vom Donnerstag ermöglicht die unzureichende Bereinigung von Eingaben während der Webanzeige-Generierung, dass nicht autorisierte Angreifer Spoofing-Attacken über ein Netzwerk durchführen können. Der CVSS-Score beträgt 8,1.
Die Exploitation erfolgt durch eine speziell präparierte E-Mail. Wenn ein Nutzer diese in Outlook Web Access unter bestimmten Interaktionsbedingungen öffnet, kann dadurch beliebiger JavaScript-Code im Browser-Kontext ausgeführt werden. Betroffen sind folgende On-Premise-Versionen: Exchange Server 2016 (alle Patch-Level), Exchange Server 2019 (unabhängig von Update-Level) sowie Exchange Server Subscription Edition (SE) in jeder Update-Version. Exchange Online ist nicht betroffen.
Als Übergangslösung bietet Microsoft den Exchange Emergency Mitigation Service an, der standardmäßig aktiviert ist und die Sicherheit automatisch durch URL-Rewrite-Konfiguration umsetzt. Nutzer sollten überprüfen, dass dieser Windows-Service aktiv ist. Für abgekoppelte Systeme (Air-Gap) hat Microsoft weitere Maßnahmen definiert. Eine vollständige Patch wird vorbereitet.
Quelle: ainews-dev.lumi-systems.io · Erschienen 15. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.