Microsoft komt met update voor actief aangevallen XSS-lek in Exchange Server

In dit artikel:

Microsoft heeft een beveiligingsupdate uitgebracht voor een actief misbruikt cross-site scripting-lek in Exchange Server (CVE-2026-42897) en dringt er bij organisaties en beheerders opaan de patch onmiddellijk te installeren. Op 14 mei waarschuwde het bedrijf al voor de kwetsbaarheid: met een speciaal opgemaakte e-mail kan aanvallers JavaScript laten draaien in de browser van Outlook Web Access (OWA)-gebruikers, waardoor toegang tot e-mail en andere gegevens mogelijk wordt. Microsoft kreeg melding van het misbruik door een externe partij, maar gaf geen naam of verdere details van de aanvallen. Het lek treft Exchange Server 2016, 2019 en de Subscription Edition; er was eerst alleen een tijdelijke mitigatie, maar nu is er een volledige update beschikbaar. Organisaties die de tijdelijke maatregel hebben doorgevoerd worden verzocht die te handhaven en de patch zo snel mogelijk te installeren.