CVE-2026-42897

Microsoft Exchange Server Spoofing Vulnerability

CVSS 8.1 HIGHEPSS 5.6%● KEVCWE-79

En resumen

Microsoft Exchange Server no limpia adecuadamente la información ingresada por usuarios en páginas web, permitiendo que atacantes inyecten código malicioso para engañar a usuarios haciéndoles creer en mensajes o acciones falsas. Esto es peligroso porque los atacantes pueden suplantar comunicaciones legítimas para robar credenciales o difundir desinformación.

Detalle técnico

Una vulnerabilidad de cross-site scripting (XSS) en la interfaz web de Microsoft Exchange Server no sanitiza correctamente la entrada controlada por el usuario durante la generación de páginas, permitiendo que atacantes inyecten scripts arbitrarios ejecutados en los navegadores de las víctimas. Esta vulnerabilidad puede ser explotada a través de la red para realizar ataques de suplantación, comprometiendo la integridad de autenticación y gestión de sesiones.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper neutralization of input during web page generation ('cross-site scripting') in Microsoft Exchange Server allows an unauthorized attacker to perform spoofing over a network.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N/E:F/RL:O/RC:C

Productos afectados

Microsoft · Microsoft Exchange Server 2016 Cumulative Update 23 Microsoft · Microsoft Exchange Server 2019 Cumulative Update 14 Microsoft · Microsoft Exchange Server 2019 Cumulative Update 15 Microsoft · Microsoft Exchange Server Subscription Edition RTM

PoCs públicas encontradas — 1

githubgithub.com/atiilla/CVE-2026-42897★ 4

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-42897