Microsoft - CVE-2026-42897

Date de publication : 15/05/2026

Il s'agit d'une vulnérabilité dans le composant Outlook Web Access (OWA) de Microsoft Exchange Server.

Microsoft Exchange Server est un serveur de messagerie électronique d'entreprise. Il assure la gestion des courriers électroniques, des calendriers, des contacts et des tâches au sein des organisations via des protocoles standards tels que MAPI, SMTP, IMAP et ActiveSync.

Le mécanisme de neutralisation des entrées utilisateur lors de la génération des pages web est défaillant, permettant l'injection de contenu non assaini dans le rendu HTML. Un attaquant peut transmettre un courrier électronique forgé à une victime. À l'ouverture de ce message dans OWA, et sous certaines conditions d'interaction, du code JavaScript arbitraire s'exécute dans le contexte du navigateur de la victime.

Elle permet l'exécution de JavaScript dans le navigateur de la victime, conduisant à une usurpation d'identité et à la compromission des données de session.

CVE-2026-42897

[Score CVSS v3.1 : 8.1]

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données
•   Injection de code indirecte (à distance) (XSS)

Exploitation

La vulnérabilité exploitée est du type
CWE-79 : Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Microsoft Exchange Server 2016 Cumulative Update 23 et antérieures
•   Microsoft Exchange Server 2019 Cumulative Update 14 et antérieures
•   Microsoft Exchange Server 2019 Cumulative Update 15 et antérieures
•   Microsoft Exchange Server Subscription Edition RTM et antérieurs

Contournement provisoire

• Activer l'Exchange Emergency Mitigation Service (EEMS), activé par défaut, qui applique automatiquement une règle de réécriture d'URL.
• Environnements air-gap sans EEMS : télécharger le script EOMT depuis aka.ms/UnifiedEOMT et l'exécuter via Exchange Management Shell avec le paramètre -CVE "CVE-2026-42897", sur chaque serveur ou sur l'ensemble du parc.

Solutions ou recommandations

Aucun correctif définitif disponible à ce jour. Microsoft développe un correctif permanent.