Impatto Sistemico

Critico (77.05)

Sintesi

Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere due nuove vulnerabilità, una con gravità ”critica” e una con gravità “alta”, che riguardano i prodotti Microsoft Authenticator e Microsoft Exchange Server. Tra queste si evidenzia la CVE-2026-42897 , di tipo “ Cross-site Scripting (XSS) ”, che risulta essere sfruttata attivamente in rete.

Tipologia

• Information Disclosure
• Spoofing

Descrizione e potenziali impatti

Nel dettaglio, la vulnerabilità identificata tramite la CVE-2026-42897 , di tipo “ Cross-site Scripting (XSS) ” e con score CVSS 3.1 pari a 8.1 – riguarda Outlook Web Access (OWA) ed è dovuta ad una mancata sanitizzazione/neutralizzazione dell’input utente durante la generazione della pagina web: l’applicazione OWA accetta input (es. parametri http o contenuti di email) e li riflette nella risposta HTML senza applicare un adeguato encoding/escaping. Tale condizione, potrebbe consentire ad un utente malevolo remoto, tramite invio di mail opportunamente predisposte, di eseguire codice arbitrario JavaScript nel contesto del browser. L’esecuzione avviene nel contesto della sessione utente OWA della vittima, con possibili impatti quali spoofing, esecuzione di azioni a nome dell’utente vittima e potenziale compromissione della sessione.

Prodotti e/o versioni affette

Microsoft

• Exchange Server Subscription Edition RTM
• Exchange Server 2019 Cumulative Update 15
• Exchange Server 2019 Cumulative Update 14
• Exchange Server 2016 Cumulative Update 23
• Authenticator per Android, versioni precedenti alla 6.2605.2973
• Authenticator per IOS, versioni precedenti alla 6.8.47

Azioni di Mitigazione

Si raccomanda di applicare le misure di mitigazione disponibili nei relativi bollettini di sicurezza riportati nella sezione Riferimenti.