Microsoft heeft een beveiligingsupdate uitgebracht voor een actief aangevallen cross-site scripting (XSS) lek in Exchange Server en roept organisaties en beheerders op om de patch zo snel mogelijk te installeren. Op 14 mei kwam Microsoft al met een waarschuwing voor de kwetsbaarheid, aangeduid als CVE-2026-42897. Via het lek kan een aanvaller door middel van een speciaal geprepareerde e-mail JavaScript in de browser van Outlook Web Access-gebruikers uitvoeren. Zo kan er toegang tot e-mail en andere informatie worden verkregen.

Microsoft werd door een externe partij over het misbruik ingelicht, maar heeft de naam van de melder niet bekendgemaakt. Verdere details over de aanvallen zijn ook niet gegeven. Het probleem raakt Microsoft Exchange Server 2016, Exchange Server 2019 en de Exchange Server Subscription Edition. Op het moment van de waarschuwing was er alleen een tijdelijke mitigatie beschikbaar. Nu is er een volledige beveiligingsupdate uitgebracht, zo meldt het techbedrijf. Klanten die de tijdelijke mitigatie voor het probleem eerder al van Microsoft ontvingen of uitrolden worden opgeroepen die te behouden en de update zo snel mogelijk te installeren.

Bron: Security.nl