CVE-2026-42897 es una vulnerabilidad de spoofing por XSS en Microsoft Exchange Server on-premises, relacionada con la generación de contenido web en OWA; permite que un atacante envíe un correo especialmente manipulado y, si el usuario lo abre en Outlook Web Access bajo ciertas condiciones, se ejecute JavaScript en el contexto del navegador.

Alcance

Afecta a Exchange Server 2016, Exchange Server 2019 y Exchange Server Subscription Edition; Exchange Online no está afectado.

Vector de ataque

El vector principal es correo electrónico + interacción del usuario: el atacante no parece necesitar acceso previo al servidor, sino que depende de que la víctima abra el mensaje en OWA y se cumplan ciertas condiciones de interacción.

En la práctica, eso lo convierte en un ataque de phishing o spear-phishing orientado a usuarios con acceso a OWA, con impacto en la sesión del navegador más que en el servidor Exchange directamente.

Impacto

La consecuencia descrita públicamente es ejecución de JavaScript en el navegador de la víctima y spoofing en el contexto web de Exchange, lo que puede facilitar robo de sesión, engaños visuales o acciones no autorizadas dentro de la interfaz web.

Mitigación

Microsoft indicó que no había todavía un parche permanente en el momento de la divulgación y recomendó usar mitigaciones temporales, en especial el Exchange Emergency Mitigation Service, que está habilitado por defecto en despliegues compatibles.

Si ese servicio no puede usarse, Microsoft también recomienda el Exchange On-premises Mitigation Tool (EOMT) para aplicar la mitigación manualmente.

Prioridad operativa

La prioridad es alta si tienes Exchange on-premises expuesto a Internet, especialmente con OWA habilitado.

NVD además la lista como vulnerabilidad en el catálogo KEV de CISA, lo que refuerza que debe tratarse como un caso urgente de mitigación y no solo de parcheo rutinario.

Recomendación práctica

Comprueba tres cosas: que tu entorno sea realmente on-premises, que OWA esté protegido con la mitigación de Microsoft, y que no tengas versiones antiguas de Exchange sin mantener.

Si administras servidores Exchange, el paso más prudente es validar ahora mismo el estado de mitigación en cada servidor y reducir la exposición de OWA mientras llegue el fix definitivo.

¿Qué se puede conocer acerca de la mitigación?

La mitigación disponible para CVE-2026-42897 se centra en dos vías oficiales: activar el Exchange Emergency Mitigation Service (EEMS) o usar el Exchange On-premises Mitigation Tool (EOMT) cuando no sea posible usar EEMS.

Qué hace EEMS

EEMS aplica automáticamente una mitigación temporal en Exchange on-premises, normalmente mediante una regla de URL Rewrite en IIS, y Microsoft indica que está habilitado por defecto en despliegues compatibles.

Si el servicio se deshabilitó, Microsoft pide volver a habilitarlo y verificar que la mitigación realmente quedó aplicada.

Qué hace EOMT

EOMT es la alternativa manual para entornos donde EEMS no está disponible, por ejemplo en sistemas aislados o con restricciones operativas.

Microsoft recomienda ejecutarlo en cada servidor afectado o sobre todos los servidores Exchange on-premises no Edge, y el resultado esperado es la aplicación de la mitigación específica para CVE-2026-42897.

Efectos secundarios

La mitigación puede afectar algunas funciones de OWA; las fuentes citan problemas con la impresión del calendario y, en ciertos casos, con la visualización de imágenes incrustadas.

Eso significa que la defensa puede introducir una degradación funcional pequeña, pero es preferible a mantener OWA expuesto sin protección.

Verificación

Microsoft indica que, si la mitigación no se aplica por EEMS, los administradores pueden comprobarla revisando la configuración de URL Rewrite en IIS o volviendo a ejecutar el script de EOMT para confirmar que la regla quedó presente.

En otras palabras, no basta con “tener el servicio”; hay que validar que la regla de protección esté activa en cada servidor.

Prioridad

NVD incluye la vulnerabilidad en un aviso con acción requerida de aplicar mitigaciones según el proveedor o dejar de usar el producto si no existen mitigaciones viables.

Para Exchange on-premises expuesto a Internet, la prioridad es inmediata: habilitar EEMS, usar EOMT si hace falta, y después aplicar el parche permanente cuando Microsoft lo libere.