Microsoft Exchange OWA CVE-2026-42897: XSS zero-day su webmail sfruttato via email malevola, patch non ancora disponibile

La CVE-2026-42897 (CVSS 8.1) è una vulnerabilità Stored/Reflected Cross-Site Scripting (XSS) in Outlook Web Access (OWA), il client webmail browser-based di Microsoft Exchange Server on-premises. La causa radice è l'assenza di sanitizzazione dell'input in specifici componenti HTML della webmail: un attaccante può inviare un'email contenente payload JavaScript offuscato che, quando aperta in OWA, viene eseguita nel contesto della sessione autenticata della vittima. Come documentato da Microsoft Exchange Team e Help Net Security, Microsoft ha confermato attacchi attivi in the wild al momento della divulgazione il 14 maggio 2026, senza ancora disporre di una patch definitiva.

Al momento della pubblicazione dell'alert ACN, la patch permanente non era ancora disponibile per Exchange Server 2016 e 2019, che richiedono l'iscrizione al programma ESU Period 2. Come mitigazione automatica, Microsoft ha distribuito la remediation M2.1.x tramite Exchange Emergency Mitigation Service (EEMS), attivo per default su Exchange Server. Gli ambienti air-gapped o con EEMS disabilitato devono applicare manualmente la mitigazione tramite lo script EOMT.ps1. Exchange Online non è affetto.

Versioni affette:
Exchange Server 2016 CU23, 2019 CU14/CU15, Subscription Edition RTM (tutte le versioni on-premises). Azione raccomandata: verificare che Exchange Emergency Mitigation Service sia abilitato (attivo per default); per ambienti disconnessi, eseguire EOMT.ps1 con il parametro CVE-2026-42897; applicare la patch definitiva non appena disponibile; gli utenti di Exchange 2016/2019 non iscritti a ESU Period 2 devono aggiornarsi al CU più recente prima di ricevere la patch.

Fonti: ACN, Microsoft, Help Net Security