关于Microsoft Exchange Server服务器端请求伪造漏洞(CVE-2026-45504)的预警提示

发布者:jsut发布时间:2026-06-30浏览次数:10

一、漏洞详情

Microsoft Exchange Server是微软推出的企业级邮件与协作服务器平台,广泛应用于全球各类组织中。

近日,监测到官方修复Microsoft Exchange Server服务器端请求伪造漏洞(CVE-2026-45504),该漏洞源于Exchange Server在处理用户输入时缺乏充分的输入验证,允许已通过身份验证的低权限用户向Exchange Server发送特制的HTTP请求,诱使服务器向任意目标系统发起请求。攻击者可利用该漏洞实现权限提升,读取 Exchange 服务器上的任意文件,进而可能完全控制邮件服务器或访问敏感数据。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Microsoft Exchange Server 2019 Cumulative Update 14 < 15.02.1544.041

Microsoft Exchange Server 2019 Cumulative Update 15 < 15.02.1748.046

Microsoft Exchange Server 2016 Cumulative Update 23 < 15.01.2507.069

Microsoft Exchange Server Subscription Edition RTM < 15.02.2562.043

三、修复建议

官方已发布安全补丁,请及时更新。

Exchange Server 2019 CU14KB5094142

Exchange Server 2019 CU15KB5094140

Exchange Server 2016 CU23KB5094144

Exchange Server Subscription Edition RTMKB5094139 (SU7)