Microsoft ha confirmado la explotación activa de una vulnerabilidad de día cero en Exchange Server on-premises, identificada como CVE-2026-42897, que permite la ejecución remota de JavaScript malicioso en Outlook Web Access (OWA) a través de un correo electrónico especialmente diseñado. Esta falla de tipo cross-site scripting (XSS) afecta a versiones 2016, 2019 y Subscription Edition (SE) de Exchange Server, pudiendo facilitar suplantación de correo, robo de credenciales y secuestro de sesión.
CVE y severidad
| CVE | CVSS v3.1 | Severidad | Componentes afectados |
|---|---|---|---|
| CVE-2026-42897 | 8.1 (Alta) | Crítica | Exchange Server 2016, Exchange Server 2019, Exchange Server Subscription Edition (SE) — solo on-premises |
Productos afectados
| Fabricante | Producto | Versiones afectadas | Plataformas/SO |
|---|---|---|---|
| Microsoft | Exchange Server | 2016, 2019, Subscription Edition (SE) | On-premises (servidores locales) |
No se reporta impacto para Exchange Online (Microsoft 365).
Solución
Aplicar las actualizaciones de seguridad publicadas el 9 de junio de 2026 para Exchange SE RTM, Exchange Server 2019 CU14/CU15 y Exchange Server 2016 CU23; mantener mitigaciones temporales activadas hasta la actualización definitiva.
Recomendaciones
Priorizar la instalación inmediata de las actualizaciones de junio 2026 para mitigar esta vulnerabilidad crítica. Validar la correcta aplicación del servicio Exchange Emergency Mitigation (EM) o la herramienta Exchange On-Premises Mitigation Tool (EOMT) especialmente en entornos desconectados. Mantener monitoreo activo tras aplicar mitigaciones, y planificar la migración a Exchange SE para acceder a futuras correcciones si se utilizan versiones sin soporte ESU.