上海青羽电脑科技有限公司

新闻中心

——“因为我们的存在,让您的邮件系统更有价值!”

新闻中心

微软7月发布:4个CVE修复,CVSS 9.8高危漏洞需立即行动

发布时间:2026-07-17  /  浏览次数:11次
2026年7月14日微软Patch Tuesday推送Exchange月度安全更新SU,修复4处新增高危漏洞,并完整修复野外已利用零日漏洞CVE-2026-42897,内容均来自微软官方公告、KB文档及MSRC漏洞公告。

一、适配版本与获取规则

  1. Exchange Server Subscription Edition(SE)RTM:补丁公开可直接下载
  2. Exchange 2016 CU23、2019 CU14/CU15:仅购买 Period 2 ESU 付费客户可获取Exchange 2016、2019 已于 2025-10-14 终止主流支持,无 ESU 则无官方补丁。

所有本地 Exchange、混合环境、Exchange 管理工具主机均需安装更新;Exchange Online 无需手动部署。

   
二、本次修复漏洞详情

1. CVE-2026-55008(XSS 欺骗漏洞,CVSS 9.6 严重)无需攻击者账号,发送恶意邮件,用户在 OWA 查看即可触发脚本,劫持会话伪造身份。受影响:Exchange 2016 CU23、2019 CU14/CU15、SE RTM。

2. CVE-2026-55005(堆溢出远程代码执行,CVSS 8.8)普通 AD 邮箱账号即可远程执行服务器代码,无需用户交互。

3. CVE-2026-55006(权限提升)访问控制缺陷,本地授权用户可提权。

4. CVE-2026-55009(权限提升)不安全反序列化,本地授权用户可提权。

  
三、零日漏洞 CVE-2026-42897 修复说明

该漏洞 CVSS 8.1,已在野外攻击,被 CISA 收录;此前仅提供临时缓解策略。

安装本次更新后,必须手动删除原有临时缓解规则,留存会造成邮件业务异常。暂时无法更新可保留缓解,但无法抵御本次新增 4 个漏洞。

  
四、各版本对应 KB 与构建版本

Exchange 2016 CU23:KB5103215,版本 15.01.2507.071

Exchange 2019 CU14:KB5103214,版本 15.02.1544.043

Exchange 2019 CU15:KB5103213,版本 15.02.1748.048

Exchange SE RTM SU8:KB5103212,版本 15.02.2562.045

  
五、官方部署要求

1. 本次为累积更新,包含历史全部安全修复;

2. SE 补丁下载地址:https://www.microsoft.com/download/details.aspx?id=1087462016/2019 ESU 补丁仅付费客户私有渠道获取;

3. 更新完成后使用官方 Health Checker 校验安装:https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/;

4. 本次更新存在官方公示已知问题,查阅对应 KB 文档查看详情。

 

官方参考链接

1. KB5103212 中文说明:https://support.microsoft.com/zh-cn/servicing/exchange/server/update/2026/5103212

2. Exchange 安全更新汇总:https://windiscover.com/posts/exchange-server-2016-2019-security-updates.html

   

微软发布补丁 → 漏洞细节公开 → 黑客研究漏洞 → 未更新的服务器成为靶子

这个链条从未改变。7月安全更新修复了CVSS 9.8的严重漏洞,还彻底修复了一个已被黑客利用的零日漏洞。 对于所有自建Exchange Server的企业,这不是“建议更新”,而是“必须更新”。
请立即行动,安排更新窗口,保护您的邮件系统安全。

一站式解决邮件收发与安全难题
靠谱工程师为您提供一对一的专业技术支持与服务
申请试用
400-602-8603