Уязвимость CVE-2026-42897 позволяет запустить вредоносный JavaScript прямо в браузере жертвы. Для атаки достаточно отправить специально сформированное письмо и дождаться, пока пользователь откроет его в веб-интерфейсе Outlook Web Access. Проблема затрагивает только локальные Exchange Server 2016, 2019 и Subscription Edition — облачный Exchange Online вне опасности. Технические детали Microsoft пока скрывает, чтобы не спровоцировать массовые взломы.
Корпорация уже развернула временную защиту через Exchange Emergency Mitigation Service. Тем, кто ранее отключил этот механизм, рекомендуют включить его немедленно. Для изолированных сред без доступа в интернет подготовлен ручной сценарий через Exchange On-Premises Mitigation Tool — он применим как на одном сервере, так и на всей ферме. Однако экстренная заплатка ломает часть функций: перестаёт работать печать календаря, сбоит отображение встроенных изображений, а системы мониторинга выдают ложные тревоги.
Полноценное исправление затронет лишь Exchange SE RTM, Exchange 2016 CU23 и Exchange 2019 CU14/CU15. Но владельцы Exchange 2016 и 2019 получат его только при наличии второго этапа расширенной подписки ESU. Первый этап программы истёк в апреле 2026 года, и те, кто не продлил поддержку, останутся без официального патча — им придётся либо мириться с нестабильной работой временной защиты, либо рисковать безопасностью всей инфраструктуры.