技术园地
TECHNOLOGY
微软补丁日:138个漏洞修复,这个Exchange OWA漏洞正被利用
发布时间:2026-05-22 / 浏览次数:46次
受影响版本:Exchange Server 2016、2019、Subscription Edition(任意更新级别)
不受影响:Exchange Online、Outlook桌面客户端、手机App
触发条件(须同时满足):
- 用户使用浏览器登录OWA(桌面/手机客户端不会触发);
- 用户打开或点击恶意邮件(含预览窗格加载);
- 执行特定交互:如点击“打印日历”、加载内嵌特殊图片、使用旧版OWA Light模式。
攻击危害:攻击者可执行任意JavaScript,劫持会话、读取/发送邮件、悄悄创建转发规则,甚至发起商业邮件诈骗(BEC)和横向移动。
微软尚未发布正式补丁。建议企业客户密切关注微软后续更新,短期内优先使用Outlook桌面客户端或手机App访问邮箱。
不过,在等待微软官方补丁的同时,确保Exchange服务器版本处于最新状态也是抵御未知风险的关键。为了帮助IT管理员快速排查风险,靠谱邮件技术工程师开发了一款免费的Exchange Server版本检测工具。它可以帮助您快速检测当前Exchange Server的版本和已安装的安全补丁,并给出微软官方的下载链接,大幅提升运维效率,避免因版本滞后带来的安全风险。
同时,如果您希望获取更详细的漏洞应对方案或了解靠谱邮件的邮件安全服务,欢迎扫码或链接填写下方需求表单,我们将安排技术顾问与您联系:
https://www.wenjuan.com/s/fqQbEjL/
本月其他高危漏洞
| CVE编号 | CVSS | 漏洞简述 |
|---|---|---|
| CVE-2026-42826 | 10.0 | Azure DevOps敏感信息暴露 |
| CVE-2026-41096 | 9.8 | Windows DNS堆缓冲区溢出,可远程执行代码 |
| CVE-2026-41089 | 9.8 | Windows Netlogon栈缓冲区溢出,无需登录 |
| CVE-2026-42898 | 9.9 | Dynamics 365(本地部署)代码注入 |
| CVE-2026-42823 | 9.9 | Azure逻辑应用访问控制不当 |
| CVE-2026-41103 | 9.1 | SSO插件(Jira/Confluence)认证缺陷 |
| CVE-2026-40361 | 8.4 | Office Word释放后使用,无需交互 |
此外,AMD修复了Zen 2产品的CPU隔离漏洞(CVE-2025-54518,CVSS 7.3);谷歌修复Chromium的127个漏洞,Edge浏览器同步受影响。
几点提醒
- 本月漏洞数量大,建议按暴露面优先级部署更新。
- 微软2011年签发的部分安全启动证书将于2026年6月下旬陆续到期,未及时更新的设备将无法接收后续安全更新,存在引导级安全风险。
部分信息来源网络,如有侵权请联系删除
