微軟 Exchange Server 用戶被敦促立即採取措施，緩解新披露的零時差漏洞，該漏洞已被攻擊者利用。微軟本週透過「週二修補日」更新修復了137個漏洞，但網路安全產業驚訝地發現，這些更新並未修復任何零日漏洞。然而，僅僅48小時後，也就是5月14日，就揭露了一個零日漏洞。

Exchange 零日漏洞，編號為CVE-2026-42897，被描述為影響 Exchange Server Subscription Edition、2016 和 2019 的欺騙和 XSS 問題。微軟在其公告中表示：“Microsoft Exchange Server 在網頁生成過程中對輸入進行不當的中和處理（‘跨站腳本攻擊’）會導致未經授權的攻擊者通過網絡執行欺騙操作。”

該公司指出，漏洞會影響 Exchange Outlook Web Access (OWA)，攻擊者可以透過向目標用戶發送特製的電子郵件來利用漏洞。微軟解釋說：如果使用者在 Outlook Web Access 中開啟電子郵件，並且滿足某些互動條件，則可以在瀏覽器上下文中執行任意 JavaScript 程式碼。

在永久補丁開發出來之前，微軟分享了一些緩解方案。微軟尚未公佈任何關於利用 CVE-2026-42897 漏洞發動的攻擊的資訊。威脅行為者針對Exchange Server 漏洞進行攻擊並不罕見——CISA 的 KEV 目錄目前列出了近 24 個此類缺陷——但似乎沒有其他報告顯示 2025 年和 2026 年發現的漏洞在實際環境中被利用。值得注意的是，CVE-2026-42897 尚未被加入到 CISA 的關鍵漏洞 (KEV) 清單中。

資料來源：https://www.securityweek.com/microsoft-warns-of-exchange-server-zero-day-exploited-in-the-wild/