本周微软发布了每月例行安全更新，没想到周四（5月14日），该公司突然披露了CVSS评分为8.1的重大漏洞CVE-2026-42897。受影响的产品主要是部署在企业内部环境（on-premises）的Exchange Server 2016、Exchange Server 2019以及Exchange Server订阅版（SE），Exchange Online不受影响。根据微软安全响应中心（MSRC）当天发布的安全公告，该漏洞已被实际利用（Exploited），微软已监测到相关攻击活动。

次日，美国网络安全与基础设施安全局（CISA）也发布警示，将CVE-2026-42897列入“已知被利用漏洞清单”（KEV），要求联邦机构必须在5月29日前采取缓解措施。

若不及时修补或缓解CVE-2026-42897，将带来严重风险：攻击者可通过向用户发送特制邮件，利用Exchange Outlook Web Access（OWA）中的跨站脚本（XSS）漏洞，实施网络欺骗攻击。当用户在OWA中打开该恶意邮件，并满足特定交互条件时，攻击者即可在用户浏览器当前权限与会话上下文中执行任意JavaScript代码。

对于Exchange Server 2016、Exchange Server 2019及Exchange Server订阅版（SE）用户，微软表示目前正在开发和测试长期有效的修复方案，达到质量标准后将正式发布。更新将覆盖Exchange Server 2019 CU14与CU15、Exchange Server 2016 CU23、Exchange SE RTM版本。其中，前两种版本的更新仅提供给已注册Exchange Server ESU计划的用户；Exchange SE的更新将公开发布。

尽管目前尚无针对CVE-2026-42897的官方补丁，微软仍提供了两种临时缓解方案：一是通过Exchange紧急风险缓解（Emergency Mitigation，EM）服务，应用IIS URL重写规则，并停用存在漏洞的Exchange服务器服务及相关应用程序池（App Pool）；二是通过脚本方式为无法使用EM服务的用户（如离线或隔离环境）提供缓解支持，用户需下载最新版Exchange本地缓解工具（EOMT），通过提升权限的Exchange管理外壳（EMS）在单台或全部服务器上执行对应脚本。