Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cross-site Scripting en Exchange Server de Microsoft

Fecha de publicación 15/05/2026
Identificador
INCIBE-2026-356
Importancia
5 - Crítica
Recursos Afectados
  • Microsoft Exchange Server 2016 Cumulative Update 23: x64-based Systems
  • Microsoft Exchange Server 2019 Cumulative Update 14, 15: x64-based Systems
  • Microsoft Exchange Server Subscription Edition RTM: x64-based Systems
Descripción

Microsoft ha publicado una vulnerabilidad de severidad critica que podría permitir a un atacante suplantar la identidad.

Esta vulnerabilidad podría estar siendo explotada.

Solución

Para los clientes que tienen habilitado el servicio Exchange EM, Microsoft lanzó la solución de mitigación automática para Exchange Server 2016, 2019 y SE. Esta solución ya está publicada y habilitada automáticamente.

Detalle

CVE-2026-42897: la neutralización inadecuada de la entrada durante la generación de páginas web ("cross-site scripting") en Microsoft Exchange Server permite que un atacante no autorizado realice suplantación de identidad a través de una red. Un atacante podría explotar esta vulnerabilidad enviando un correo electrónico especialmente diseñado a un usuario. Si el usuario abre el correo electrónico en Outlook Web Access y se cumplen ciertas condiciones de interacción, se puede ejecutar código JavaScript arbitrario en el navegador.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-42897 Crítica Microsoft
Listado de referencias
Microsoft Exchange Server Spoofing Vulnerability
CVE-2026-42897
Addressing Exchange Server May 2026 vulnerability CVE-2026-42897
Etiquetas