La falla, identificada como CVE-2026-42897 (CVSS 8.1), corresponde a una vulnerabilidad de spoofing originada por un problema de cross-site scripting (XSS). Según Microsoft, un atacante puede explotar el fallo enviando un correo especialmente manipulado a una víctima. Si el mensaje es abierto mediante Outlook Web Access (OWA) y se cumplen ciertas condiciones de interacción, es posible ejecutar código JavaScript arbitrario en el navegador del usuario.

Microsoft clasificó la vulnerabilidad con el estado “Exploitation Detected”, lo que indica evidencia de explotación activa. Mientras prepara un parche definitivo, la compañía habilitó una mitigación temporal a través del servicio Exchange Emergency Mitigation Service, el cual aplica automáticamente una configuración de reescritura de URL y viene habilitado por defecto.

Los productos afectados son:

• Exchange Server 2016
• Exchange Server 2019
• Exchange Server Subscription Edition (SE)

Todas las versiones y niveles de actualización están impactados. Microsoft aclaró que Exchange Online no se ve afectado.

Para entornos aislados (air-gapped) donde no pueda utilizarse el servicio automático de mitigación, Microsoft recomienda descargar y ejecutar la herramienta Exchange On-premises Mitigation Tool (EOMT) manualmente en cada servidor o de forma masiva.

La compañía también informó sobre un problema visual conocido donde puede aparecer el mensaje “Mitigation invalid for this exchange version”. Sin embargo, indicó que la mitigación sí se aplica correctamente si el estado figura como “Applied”.

Actualización
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) añadió el 15 de mayo de 2026 la vulnerabilidad CVE-2026-42897 a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV, por sus siglas en inglés), exigiendo a las agencias del Poder Ejecutivo Civil Federal (FCEB) aplicar las mitigaciones necesarias antes del 29 de mayo de 2026.