Uwaga na krytyczną podatność 0-day w Microsoft Exchange (CVE-2026-42897).

Luka jest aktywnie wykorzystywana i dotyczy OWA (Outlook Web Access). Microsoft opisuje scenariusz ataku:

ℹ️ Atakujący wysyła do ofiary odpowiednio spreparowanego maila
ℹ️ Ofiara otwiera maila w przeglądarce webowej (tj. w OWA)
ℹ️ Po wykonaniu pewnej akcji (np. najechaniu na jakiś element), po cichu wykonuje się kod JavaScript w przeglądarce ofiary [czyli mamy klasyczny persistent XSS]

Atakujący w ten sposób może mieć np. dostęp do emaili ofiary (poprzez bezpośrednie pobranie maili czy przechwycenie ciastka sesyjnego). Najpewniej może też wysyłać e-maile ❌ podszywając się perfekcyjnie pod ofiarę.

Microsoft wydał na razie tymczasowe zalecenia (workarounds), pełne patche będą wkrótce.

Podatne są: Microsoft Exchange Server 2016 / 2019 / SE. Nie jest podatny Exchange Online.

~ms