Microsoft Exchange Server是微软推出的企业级邮件与协作服务器平台,广泛应用于全球各类组织中。
近日,监测到官方修复Microsoft Exchange Server服务器端请求伪造漏洞(CVE-2026-45504),该漏洞源于Exchange Server在处理用户输入时缺乏充分的输入验证,允许已通过身份验证的低权限用户向Exchange Server发送特制的HTTP请求,诱使服务器向任意目标系统发起请求。攻击者可利用该漏洞实现权限提升,读取 Exchange 服务器上的任意文件,进而可能完全控制邮件服务器或访问敏感数据。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Microsoft Exchange Server 2019 Cumulative Update 14 < 15.02.1544.041
Microsoft Exchange Server 2019 Cumulative Update 15 < 15.02.1748.046
Microsoft Exchange Server 2016 Cumulative Update 23 < 15.01.2507.069
Microsoft Exchange Server Subscription Edition RTM < 15.02.2562.043
三、修复建议
官方已发布安全补丁,请及时更新。
Exchange Server 2019 CU14:KB5094142
Exchange Server 2019 CU15:KB5094140
Exchange Server 2016 CU23:KB5094144
Exchange Server Subscription Edition RTM:KB5094139 (SU7)

