CVE-2026-42897 ist eine Cross-Site-Scripting-Schwachstelle in Microsoft Exchange OWA. Der Angriffsweg ist technisch direkt: Öffnet ein Nutzer eine speziell gestaltete E-Mail in Outlook Web Access, wird beliebiger JavaScript-Code im Browser-Kontext ausgeführt. Betroffen sind Exchange Server 2016, 2019 sowie die Subscription Edition (SE).
Offenlegung ohne fertigen Patch
Microsoft legte die Schwachstelle zwei Tage nach dem Patch Tuesday für Mai 2026 offen – zu einem Zeitpunkt, an dem noch kein vollständiger Patch verfügbar war. Als temporäre Abhilfe stellte Microsoft eine Mitigation über den Exchange Emergency Mitigation Service (EEMS) bereit. Laut Dark Reading hat diese Maßnahme jedoch Nebenwirkungen: Die OWA-Funktionen Print Calendar und OWA Light sind davon beeinträchtigt.
Aktive Ausnutzung und behördliche Reaktion
Microsoft hat die aktive Ausnutzung von CVE-2026-42897 in freier Wildbahn bestätigt. Die US-Cybersicherheitsbehörde CISA nahm die Schwachstelle am 15. Mai in ihren Known Exploited Vulnerabilities (KEV) Katalog auf und wies US-Bundesbehörden an, die Lücke bis zum 29. Mai zu schließen. Die eigentlichen Sicherheitspatches wurden im Juni 2026 veröffentlicht – nach Ablauf dieser behördlichen Frist.
Risikobewertung und Einordnung
Laut Dark Reading hat Microsoft CVE-2026-42897 einen CVSS-Score von 8.1 zugewiesen; das NIST NVD bewertet die Schwachstelle dagegen mit 6.1 (medium). Bogdan Tiron, Gründer der Penetrationstestfirma Fortbridge, warnte laut Dark Reading, dass ein kompromittiertes Postfach Business Email Compromise oder Ransomware-Angriffe ermöglichen kann. Laut BleepingComputer haben Ransomware-Gruppen bereits 14 Exchange-Schwachstellen aus dem KEV-Katalog ausgenutzt – CVE-2026-42897 reiht sich damit in eine kritische Angriffsfläche ein, die seit Jahren aktiv missbraucht wird.
Quellen: Golem.de · bleepingcomputer.com · securityweek.com · securityaffairs.com · darkreading.com
Dieser Artikel wurde KI-gestützt aus mehreren unabhängigen Quellen erstellt und automatisiert faktengeprüft.