Une vulnérabilité de type Cross-Site Scripting (XSS) a été détectée sur Microsoft Exchange Server. Selon l’équipe de réponse aux incidents de sécurité informatique bjCSIRT, cette vulnérabilité pourrait permettre à des acteurs malveillants de compromettre des comptes de messagerie et d’accéder à des données sensibles via Outlook Web Access (OWA).
L’équipe de réponse aux incidents de sécurité informatique bjCSIRT a publié, ce samedi 16 mai 2026, une alerte relative à une vulnérabilité critique affectant Microsoft Exchange Server. Identifiée sous la référence CVE-2026-42897, cette faille résulte d’une mauvaise validation des entrées lors de la génération de pages web dans le composant Outlook Web Access (OWA).
Concrètement, un pirate informatique pourrait envoyer un courriel piégé à un utilisateur. Si ce dernier ouvre le message dans OWA, des scripts malveillants peuvent alors être exécutés dans son navigateur. « L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié, via l’envoi d’un courriel spécialement conçu à un utilisateur qui l’ouvre dans OWA, d’exécuter des scripts JavaScript arbitraires dans le navigateur de la victime », précise l’alerte.
La faille est classée élevée avec un score de sévérité de 8.1 selon le CVSS V3.1. Les risques évoqués par bjCSIRT concernent notamment « l’usurpation de l’identité de l’utilisateur connecté », le « vol de session ou de données sensibles » ainsi que la « compromission du compte de messagerie de l’utilisateur ».
Les versions touchées par ce dysfonctionnement sont Exchange Server 2016 CU23, Exchange Server 2019 CU14 et CU15 ainsi que Exchange Server SE RTM.
Approches de solution
Pour limiter les risques, bjCSIRT recommande d’activer le service Exchange Emergency Mitigation (EM Service) afin d’appliquer automatiquement les mesures correctives publiées par Microsoft. L’équipe demande également aux administrateurs de mettre à jour leurs serveurs Exchange dès que les versions corrigées seront disponibles.
Les responsables informatiques sont aussi invités à vérifier l’état des mesures appliquées grâce à l’outil Exchange Health Checker : https://aka.ms/ExchangeHealthChecker?utm_source=chatgpt.com
