
所有本地 Exchange、混合环境、Exchange 管理工具主机均需安装更新;Exchange Online 无需手动部署。
1. CVE-2026-55008(XSS 欺骗漏洞,CVSS 9.6 严重)无需攻击者账号,发送恶意邮件,用户在 OWA 查看即可触发脚本,劫持会话伪造身份。受影响:Exchange 2016 CU23、2019 CU14/CU15、SE RTM。
2. CVE-2026-55005(堆溢出远程代码执行,CVSS 8.8)普通 AD 邮箱账号即可远程执行服务器代码,无需用户交互。
3. CVE-2026-55006(权限提升)访问控制缺陷,本地授权用户可提权。
4. CVE-2026-55009(权限提升)不安全反序列化,本地授权用户可提权。
该漏洞 CVSS 8.1,已在野外攻击,被 CISA 收录;此前仅提供临时缓解策略。
安装本次更新后,必须手动删除原有临时缓解规则,留存会造成邮件业务异常。暂时无法更新可保留缓解,但无法抵御本次新增 4 个漏洞。
Exchange 2016 CU23:KB5103215,版本 15.01.2507.071
Exchange 2019 CU14:KB5103214,版本 15.02.1544.043
Exchange 2019 CU15:KB5103213,版本 15.02.1748.048
Exchange SE RTM SU8:KB5103212,版本 15.02.2562.045
1. 本次为累积更新,包含历史全部安全修复;
2. SE 补丁下载地址:https://www.microsoft.com/download/details.aspx?id=1087462016/2019 ESU 补丁仅付费客户私有渠道获取;
3. 更新完成后使用官方 Health Checker 校验安装:https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/;
4. 本次更新存在官方公示已知问题,查阅对应 KB 文档查看详情。
1. KB5103212 中文说明:https://support.microsoft.com/zh-cn/servicing/exchange/server/update/2026/5103212
2. Exchange 安全更新汇总:https://windiscover.com/posts/exchange-server-2016-2019-security-updates.html
微软发布补丁 → 漏洞细节公开 → 黑客研究漏洞 → 未更新的服务器成为靶子
这个链条从未改变。7月安全更新修复了CVSS 9.8的严重漏洞,还彻底修复了一个已被黑客利用的零日漏洞。 对于所有自建Exchange Server的企业,这不是“建议更新”,而是“必须更新”。
请立即行动,安排更新窗口,保护您的邮件系统安全。