近期，微软紧急披露了 Microsoft Exchange Server 的高危零日漏洞（CVE-2026-42897），该漏洞已被确认在野外遭到积极利用。

漏洞核心机制
该漏洞是一个存在于 Exchange Outlook Web Access (OWA) 组件中的存储型跨站脚本（XSS）漏洞，CVSS 评分高达 8.1（高危）。其根本原因在于 OWA 对邮件正文的 HTML 内容过滤存在逻辑缺陷，错误地放行了 SVG 标签内的恶意事件处理程序。

武器化邮件攻击链
攻击者利用此漏洞的攻击门槛极低，无需任何前置权限。攻击者只需向目标用户发送一封精心构造的武器化恶意邮件，当受害者在 OWA 界面中打开邮件（甚至仅在预览窗格中加载）并触发特定交互时，注入的任意 JavaScript 代码便会在受害者的浏览器上下文中无缝执行。

潜在危害
成功利用该漏洞后，攻击者可在受害者浏览器中执行任意 JavaScript，进而实现会话劫持、凭证窃取、读取或自动转发收件箱邮件、伪造用户身份发送邮件，甚至将其作为跳板进一步向企业内网进行横向渗透。

影响范围与缓解措施
该漏洞影响所有本地部署的 Exchange Server 2016、2019 及订阅版（SE），但 Exchange Online（Office 365）及 Outlook 桌面/移动客户端不受影响。

目前微软尚未发布正式的永久修复补丁（预计于 2026 年 6 月补丁日发布），但已提供以下紧急缓解方案：
Exchange 紧急缓解服务（EEMS）：对于联网服务器，微软已自动推送 M2.1.x 版本的临时缓解规则，管理员可通过健康检查脚本确认状态。
Exchange 本地缓解工具（EOMT）：对于物理隔离或无法联网的环境，管理员需下载 EOMT 脚本并在提权的 Exchange 管理 Shell 中手动执行。

需要注意的是，启用缓解措施可能会带来轻微的功能副作用，例如 OWA 的打印日历功能异常或阅读窗格中的内联图片显示异常，建议短期内优先使用 Outlook 桌面客户端或手机 App 访问邮箱。