Team MailSniper
Autore
CVE-2026-42897 è una vulnerabilità di tipo Cross-Site Scripting (XSS) che colpisce Microsoft Exchange Server, specificamente la componente Outlook Web Access (OWA). Il bug consente a un attacker remoto di iniettare codice JavaScript malevolo nelle sessioni degli utenti legittimi, potenzialmente senza necessità di credenziali.
Vettore: L'attacco sfrutta la mancata sanitizzazione di input in specifiche componenti web di OWA. L'attacker invia un'email contenente codice JavaScript appositamente craftato. Quando il destinatario visualizza l'email in OWA, il codice viene eseguito nel contesto del browser della vittima.
Stato: Nessuna patch Microsoft disponibile al momento della pubblicazione. Il vendor ha confermato il problema e sta lavorando a una correzione, ma non ha rilasciato timeline specifiche.
Esposizione: Tutte le organizzazioni che utilizzano Exchange Server con OWA abilitato sono potenzialmente vulnerabili. La superficie d'attacco è ampia perché OWA è tipicamente esposto su internet per consentire l'accesso remoto ai dipendenti.
Conferma attiva: Fonti di threat intelligence indipendenti hanno confermato che la vulnerabilità è in fase di sfruttamento attivo da parte di gruppi APT e attori criminali. Gli IOC (Indicator of Compromise) sono in fase di raccolta e condivisione tramite i canali ISAC nazionali.
La vulnerabilità CVE-2026-42897 risiede in un punto critico del flusso di rendering di Outlook Web Access. Quando un utente visualizza un'email contenente HTML, Exchange processa il contenuto lato server prima di inviarlo al client. Il bug si manifesta nella fase di sanitizzazione: alcuni campi dell'email non vengono correttamente escaped prima del rendering nel browser.
Concretamente, un attacker può inserire in un'email tag HTML come
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl Patch Tuesday di giugno 2026 ha spaccato i server: 206 vulnerabilità, 33 critiche, una zero-day Exchange già sfruttata. Se gestisci un ambiente Microsoft, ti spiego come prioritizzare gli update e cosa controllare subito.
LeggiUna falla in Exchange Server permette agli hacker di eseguire codice malevolo attraverso Outlook Web Access. Per un'azienda italiana, il costo di un incidente del genere può superare i 100.000 euro. E la maggior parte delle PMI non ha nemmeno un piano di patch.
Leggi73 repository Microsoft compromessi in una campagna supply chain self-replicating. L'attacco Miasma sfrutta dipendenze malevole per infiltrarsi nel software. Ecco cosa devono sapere i CISO e i team di sicurezza.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.