피드로 돌아가기
Exploited Exchange Server flaw turns OWA inboxes into script launchpads
The RegisterThe Register
Security

CVSS 8.1 수준의 OWA Cross-Site Scripting 취약점 및 긴급 완화 조치

Exploited Exchange Server flaw turns OWA inboxes into script launchpads

2026년 5월 15일2intermediate

AI 요약

Context

On-premises Exchange Server의 Outlook Web Access(OWA) 내 메일 렌더링 프로세스 결함으로 인한 보안 취약점 발생. 특수하게 제작된 이메일 열람 시 브라우저 컨텍스트에서 임의의 JavaScript 실행이 가능한 구조적 허점 노출.

Technical Solution

  • CVE-2026-42897 취약점 대응을 위한 Exchange Emergency Mitigation(EM) 서비스 기반의 긴급 패치 적용
  • Cross-Site Scripting(XSS) 공격 벡터 차단을 위한 메일 본문 렌더링 로직 제약 사항 도입
  • Air-gapped 환경 및 폐쇄망 서버를 위한 수동 완화 조치(Manual Mitigation) 프로세스 제공
  • Exchange Server Subscription Edition(SE) 중심의 정식 보안 업데이트 배포 체계 수립
  • Extended Security Updates(ESU) Period 2 가입 고객 대상의 버전별 차등 패치 적용 전략 채택

실천 포인트

- OWA 내 인라인 이미지 및 캘린더 출력 기능의 정상 작동 여부 전수 점검 - EM 서비스 미적용 환경의 수동 패치 적용 상태 확인 - Exchange 2016/2019 사용자의 ESU Period 2 가입 상태 및 업데이트 경로 검토 - OWA Light 사용자의 최신 버전 업그레이드 강제 적용 여부 확인

태그

#CVE-2026-42897#On-Premises#OWA#Cross-Site Scripting#Arbitrary Code Execution
원문 읽기