微軟揭露Exchange Server存在8.1分重大漏洞，並已偵測到漏洞利用活動

隔天美國網路安全與基礎設施安全局（CISA）也發布警示，將CVE-2026-42897列入已知遭利用漏洞清單（KEV），要求聯邦機構須在5月29日採取緩解措施。

CVE-2026-42897若不即時修補或緩解，會產生哪些風險？攻擊者可透過寄送特製的電子郵件給用戶，濫用存在Exchange Outlook Web Access（OWA）的跨網站指令碼（XSS）漏洞，此弱點允許未獲得授權的攻擊者經由網路進行偽冒攻擊，若用戶在OWA開啟該封特製郵件，而且符合特定互動條件時，即可在瀏覽器目前的權限與工作階段執行任何JavaScript程式碼。

對於Exchange Server 2016、Exchange Server 2019，以及Exchange Server訂閱版（SE）用戶而言，若想要避免受到CVE-2026-42897的影響，微軟表示，目前正在開發與測試可長期使用的修補機制，若達到品質標準，將正式發布供用戶部署，將會針對Exchange Server 2019 CU14與CU15、Exchange Server 2016 CU23、Exchange SE RTM提供更新，其中，前兩種版本的Exchange更新，微軟僅提供給註冊參加Exchange Server ESU計畫的用戶；對於Exchange SE更新，微軟會公開發布。

雖然現在沒有修補CVE-2026-42897的軟體更新，但微軟仍提供兩種暫時的緩解方式，首先是透過Exchange緊急風險降低（Emergency Mitigation，EM）服務，套用IIS URL Rewrite規則，以及停用存在漏洞的Exchange伺服器服務與相關應用程式集區（App Pool）；另一種是經由套用指令碼的方式，協助無法採用EM服務的Exchange用戶緩解，像是離線或隔離環境，用戶須下載最新版本的Exchange on-premises Mitigation Tool（EOMT），針對單臺伺服器或所有伺服器，透過提升權限的Exchange Management Shell（EMS）執行對應的指令碼。