Cross-site Scripting en Exchange Server de Microsoft
- Microsoft Exchange Server 2016 Cumulative Update 23: x64-based Systems
- Microsoft Exchange Server 2019 Cumulative Update 14, 15: x64-based Systems
- Microsoft Exchange Server Subscription Edition RTM: x64-based Systems
Microsoft ha publicado una vulnerabilidad de severidad critica que podría permitir a un atacante suplantar la identidad.
Esta vulnerabilidad podría estar siendo explotada.
Para los clientes que tienen habilitado el servicio Exchange EM, Microsoft lanzó la solución de mitigación automática para Exchange Server 2016, 2019 y SE. Esta solución ya está publicada y habilitada automáticamente.
CVE-2026-42897: la neutralización inadecuada de la entrada durante la generación de páginas web (“cross-site scripting”) en Microsoft Exchange Server permite que un atacante no autorizado realice suplantación de identidad a través de una red. Un atacante podría explotar esta vulnerabilidad enviando un correo electrónico especialmente diseñado a un usuario. Si el usuario abre el correo electrónico en Outlook Web Access y se cumplen ciertas condiciones de interacción, se puede ejecutar código JavaScript arbitrario en el navegador.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-42897 | Crítica | Sí | Microsoft |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.