Origine : bjCSIRT
Numéro : 2026/ALERTE/036
APERÇU :
Une vulnérabilité affectant Microsoft Exchange Server permettrait à un acteur malveillant de provoquer une exécution de scripts intersites (XSS) dans le navigateur des utilisateurs.
DESCRIPTION
Microsoft Exchange Server est une solution de messagerie électronique et de collaboration développée par Microsoft, largement déployée dans les environnements d’entreprise pour la gestion des courriels, calendriers et contacts.
Cette solution est affectée par une vulnérabilité libellée CVE-2026-42897 résultant d’une mauvaise validation des entrées lors de la génération de pages web dans le composant Outlook Web Access (OWA). L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié, via l’envoi d’un courriel spécialement conçu à un utilisateur qui l’ouvre dans OWA, d’exécuter des scripts JavaScript arbitraires dans le navigateur de la victime, ce qui pourrait conduire à une usurpation d’identité ou à une compromission du compte de messagerie.
Elle est classée élevée avec un score de sévérité de 8.1 selon le CVSS V3.1.
IMPACT
- Exécution de scripts intersites (XSS) dans le navigateur de la victime ;
- Usurpation de l’identité de l’utilisateur connecté ;
- Vol de session ou de données sensibles ;
- Compromission du compte de messagerie de l’utilisateur.
SYSTEMES AFFECTÉS
- Exchange Server 2016 CU23 ;
- Exchange Server 2019 CU14 et CU15 ;
- Exchange Server SE RTM.
MESURES À PRENDRE :
- Activer le service Exchange Emergency Mitigation (EM Service) pour appliquer automatiquement la mitigation publiée par Microsoft ;
- Mettre à jour Microsoft Exchange Server vers les versions corrigées dès leur disponibilité ;
- Vérifier l’état des mitigations appliquées via l’outil Exchange Health Checker : https://aka.ms/ExchangeHealthChecker
RÉFÉRENCES :