آسیبپذیری با شناسه CVE-2026-42897 و شدت 8.1 (High) در نرمافزار Microsoft Exchange Server شناسایی شده است. این آسیبپذیری از نوع Cross-Site Scripting (XSS) بوده و ناشی از ضعف در Sanitization ورودیها در سرویس Outlook Web Access (OWA) است. در این سناریو، مهاجم بدون نیاز به احراز هویت میتواند با ارسال یک پیام ایمیل حاوی محتوای مخرب و باز شدن آن توسط کاربر در OWA، کد JavaScript دلخواه را در مرورگر قربانی اجرا کند.
در نتیجه، مهاجم قادر خواهد بود با اجرای کد مخرب در مرورگر کاربر، اقداماتی نظیر سرقت اعتبارنامهها (Credential Theft)، ربودن نشست (Session Hijacking)، دستکاری محتوای ایمیل و اجرای حملات فیشینگ داخلی را انجام دهد.
بهرهبرداری موفق از این آسیبپذیری میتواند منجر به افشای اطلاعات حساس، سرقت نشست کاربران و سوءاستفاده از دسترسیهای کاربران احراز هویتشده شود؛ موضوعی که تهدیدی جدی برای محرمانگی (Confidentiality) و یکپارچگی (Integrity) سامانههای ایمیلی سازمان محسوب میشود.
نسخههای زیر از Microsoft Exchange Server در برابر آسیبپذیری CVE-2026-42897 آسیبپذیر هستند:
- Exchange Server 2016: نسخههای CU1 تا CU23
- Exchange Server 2019: نسخههای CU1 تا CU15
- Exchange Server Subscription Edition: تمامی نسخهها
لازم به ذکر است که سرویس ابری Exchange Online تحت تأثیر این آسیبپذیری قرار ندارد.
- دسترسی به Outlook Web Access (OWA) صرفاً از طریق شبکههای مورد اعتماد، VPN سازمانی یا IPهای مجاز محدود شود تا سطح حمله کاهش یابد.
- فعالسازی و تقویت مکانیزمهای امنیتی مرورگر و سرور از جملهCSP،HttpOnly و Secure Flag برای کاهش ریسک سرقت Session Cookie ضروری است.
- سیستمعامل و کتابخانههای مرتبط با TLS و رمزنگاری (مانند Schannel) بهروزرسانی مستمر شوند.
منابع خبر
https://nvd.nist.gov/vuln/detail/CVE-2026-42897
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897
- 2