The vulnerability CVE-2026-42897 (CVSS 8.1 HIGH) in Microsoft Exchange Server allows unauthenticated attackers to perform cross-site scripting (XSS) and security policy bypass when a user opens a malicious email in Outlook Web Access. Affected versions include Exchange Server 2016 CU23, Exchange Server 2019 CU14 and CU15, and Exchange Server Subscription Edition RTM. As a full patch is not yet available, Microsoft's Exchange Emergency Mitigation Service is enabled by default to provide a temporary workaround, with manual procedures available for disconnected environments.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 15 mai 2026 N° CERTFR-2026-ALE-005 Affaire suivie par: CERT-FR Bulletin d'alerte du CERT-FR Objet: Vulnérabilité dans Microsoft Exchange Server Gestion du document Référence CERTFR-2026-ALE-005 Titre Vulnérabilité dans Microsoft Exchange Server Date de la première version 15 mai 2026 Date de la dernière version 15 mai 2026 Source(s) Bulletin de sécurité Microsoft CVE-2026-42897 du 14 mai 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Contournement de la politique de sécurité Injection de code indirecte à distance (XSS) Systèmes affectés Microsoft Exchange Server 2016 Cumulative Update 23 Microsoft Exchange Server 2019 Cumulative Update 14 Microsoft Exchange Server 2019 Cumulative Update 15 Microsoft Exchange Server Subscription Edition RTM Résumé Le 14 mai 2026, Microsoft a publié un avis de sécurité concernant la vulnérabilité CVE-2026-42897 affectant Exchange Server. Elle permet à un attaquant non authentifié de provoquer une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité lorsqu'un utilisateur ouvre un courriel piégé dans Outlook Web Access. Microsoft indique que la vulnérabilité CVE-2026-42897 est activement exploitée. Contournement provisoire Le service de contournement d'urgence pour Exchange ( Exchange Emergency Mitigation Service ) [1] est activé par défaut et fonctionne automatiquement. Pour les environnements déconnectés, l'éditeur a mis à disposition un billet de blogue [2] détaillant une procédure pour appliquer le contournement provisoire. Solutions Microsoft a annoncé qu'un correctif sera publié prochainement. Le CERT-FR recommande de consulter régulièrement les annonces de l'éditeur pour la mise à disposition des correctifs. Documentation Bulletin de sécurité Microsoft CVE-2026-42897 du 14 mai 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897 [1] Service de contournement d'urgence pour Exchange https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-emergency-mitigation-service [2] Billet de blogue de l'équipe Exchange https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498 Avis CERT-FR CERTFR-2026-AVI-0599 du 15 mai 2026 https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0599/ Compromission d'un compte de messagerie - Endiguement https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-004/ Compromission d'un compte de messagerie - Qualification https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-003/ Référence CVE CVE-2026-42897 https://www.cve.org/CVERecord?id=CVE-2026-42897 Gestion détaillée du document le 15 mai 2026 Version initiale