Корпорация Microsoft в рамках июньского «вторника исправлений» закрыла активно эксплуатируемую уязвимость в нескольких версиях Microsoft Exchange Server. Злоумышленники могут при определенных обстоятельствах использовать её для выполнения вредоносного JavaScript-кода в веб-браузерах пользователей, которые получают доступ к своей электронной почте через Outlook Web Access (OWA). Администраторам следует оперативно установить июньские обновления, чтобы защитить пользователей.
Данная уязвимость зарегистрирована как CVE-2026-42897 (открывается в новом окне), классифицируется как межсайтовый скриптинг (открывается в новом окне) и имеет высокий уровень серьезности с оценкой CVSS 8,1. Microsoft оценивает риск как «критический» и предупреждает, что уже есть признаки активной эксплуатации этой бреши.
Microsoft впервые предупредила о CVE-2026-42897 в середине мая. Тогда компания предоставила в сообщении в блоге (открывается в новом окне) ручные меры по устранению проблемы, а также возможную автоматическую коррекцию через Exchange Emergency Mitigation Service (открывается в новом окне). Однако это было лишь «временное» решение, которое Microsoft впоследствии хотела оптимизировать.
Улучшенное исправление через обновление
По этой причине Microsoft рекомендует администраторам Exchange как можно скорее установить июньские обновления. По заявлению компании, они содержат «постоянное исправление», которое соответствует «стандартам качества предприятия». Учитывая прошлые события, эти стандарты качества, возможно, не так уж высоки, но отказ от установки исправления также не является рекомендуемым вариантом.
Microsoft предоставила исправление с июньскими обновлениями для Microsoft Exchange Server 2016, 2019 и SE (Subscription Edition). Однако для применения этих обновлений на Exchange Server 2016 и 2019 требуется участие в программе ESU (Extended Security Updates). Регулярная поддержка этих версий была прекращена в октябре 2025 года.
CVE-2026-42897 — лишь одна из сотен уязвимостей, которые Microsoft закрыла в рамках июньского «вторника исправлений». В частности, в ядре Windows, в Microsoft Defender и в службе DHCP-клиента Windows также были устранены очень опасные бреши. Таким образом, стоит обновить Windows и другие продукты Microsoft до последней версии.