Microsoft CVE-2026-42897 Zaafiyeti

Microsoft tarafından CVE-2026-42897 numaralı güvenlik açığı duyuruldu.

CVE-2026-42897, Microsoft Exchange Server Outlook Web Access (OWA) bileşenini etkileyen yüksek önem seviyesinde bir güvenlik zafiyetidir. Açık, özel hazırlanmış bir içeriğin kullanıcı tarafından OWA üzerinden görüntülenmesi durumunda istemci tarafında zararlı JavaScript kodunun çalıştırılabilmesine neden olabilmektedir.

Zafiyetin temel detayları aşağıdaki gibidir:

  • CVE: CVE-2026-42897
  • Etkilenen Ürünler:
    • Microsoft Exchange Server 2016
    • Microsoft Exchange Server 2019
    • Exchange Server Subscription Edition
  • Etkilenen Bileşen:
    • Outlook Web Access (OWA)
  • Zafiyet Türü:
    • Cross-Site Scripting (XSS) / Spoofing
  • CVSS v3 Skoru:
    • 8.1 (High)
  • Saldırı Vektörü:
    • Ağ üzerinden
  • Kullanıcı Etkileşimi:
    • Gereklidir

Microsoft tarafından yapılan açıklamaya göre saldırgan, özel hazırlanmış bir içeriği hedef kullanıcıya iletebilir. Kullanıcının ilgili içeriği OWA üzerinden açması durumunda, tarayıcı oturumu içerisinde saldırgana ait script kodları çalıştırılabilir. Bu durum;

  • Kullanıcı oturum bilgilerinin ele geçirilmesi,
  • OWA oturumu üzerinden yetkisiz işlemler gerçekleştirilmesi,
  • Kimlik sahteciliği (spoofing),
  • Hassas verilere erişim

gibi risklere yol açabilmektedir.

Önemli Not:
Bu zafiyet doğrudan Exchange sunucusunda Remote Code Execution (RCE) anlamına gelmemektedir. Risk, kullanıcı oturumu ve tarayıcı bağlamında oluşmaktadır. Ancak OWA servisinin internete açık olması nedeniyle kritik seviyede değerlendirilmesi önerilmektedir.

Yapılması Gerekenler:

  1. Exchange Server sürümlerinin ve patch seviyelerinin kontrol edilmesi
  2. OWA servisinin internete açık olup olmadığının doğrulanması
  3. Microsoft tarafından yayınlanan güvenlik güncellemeleri ve mitigation adımlarının uygulanması
  4. OWA erişim logları ve IIS kayıtlarının incelenmesi
  5. Şüpheli erişim ve oturum hareketlerinin kontrol edilmesi

İnternete açık sistemler için ek güvenlik kontrollerinin gözden geçirilmesi

Zafiyet ile ilgili Patch yayınlanana kadar aşağıdaki makalede yer alan workaround’ları uygulayabilirsiniz.

https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498 

 

Copyright © 2025 Serhad Makbuloglu
×
Close