CSIRT Panamá Aviso 2026-05-19 Microsoft advierte sobre vulnerabilidad Zero-Day en Exchange Server

TOPICS:avisos de seguridad exchange microsoft Vulnerabilidad

Posted By: CSIRT Panamá May 19, 2026

CSIRT Panamá Aviso 2026-05-19 Microsoft advierte sobre vulnerabilidad Zero-Day en Exchange Server

Gravedad: Alta
Fecha de publicación: 19 de mayo de 2026
Última revisión: 19 de mayo de 2026

Sistemas Afectados

Microsoft Exchange Server

I. Descripción

Se insta a los usuarios de Microsoft Exchange Server a aplicar inmediatamente medidas de mitigación ante una nueva vulnerabilidad de día cero (zero-day) que ya está siendo explotada en ataques.

Esta semana, Microsoft corrigió 137 vulnerabilidades mediante sus actualizaciones de Patch Tuesday. Sin embargo, 48 horas después, el 14 de mayo, se divulgó una nueva vulnerabilidad de día cero.

La vulnerabilidad de Exchange, identificada como CVE-2026-42897, ha sido descrita como un problema de spoofing y Cross-Site Scripting (XSS) que afecta a Exchange Server Subscription Edition, 2016 y 2019.

“Una neutralización incorrecta de entradas durante la generación de páginas web (‘cross-site scripting’) en Microsoft Exchange Server permite que un atacante no autorizado realice spoofing a través de la red”, indicó Microsoft en su aviso oficial.

La compañía señaló que la vulnerabilidad afecta a Exchange Outlook Web Access (OWA) y que un atacante puede explotarla enviando un correo electrónico especialmente diseñado al usuario objetivo.

“Si el usuario abre el correo electrónico en Outlook Web Access y se cumplen ciertas condiciones de interacción, se puede ejecutar código JavaScript arbitrario en el contexto del navegador”, explicó Microsoft.

II. Impacto

Spoofing a través de la red.
Ejecución de código JavaScript arbitrario en el contexto del navegador.
Explotación mediante correos electrónicos especialmente diseñados dirigidos a usuarios de Outlook Web Access (OWA).

III. Referencia a soluciones, herramientas e información

Mientras se desarrolla un parche permanente, Microsoft ha compartido algunas opciones de mitigación.

Microsoft proporcionó la siguiente declaración:

“Hemos emitido el CVE-2026-42897 para abordar una vulnerabilidad de spoofing que afecta a Exchange Outlook Web Access (OWA). Recomendamos a los clientes habilitar EEMS para estar mejor protegidos y seguir nuestra guía disponible.”

https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498

https://nvd.nist.gov/vuln/detail/CVE-2026-42897

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897

Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team
Autoridad Nacional para la Innovación Gubernamental

E-Mail: info@cert.pa
Phone: +507 520-2378
Web: CSIRT Panamá
X: @CSIRTPanama
Key ID: 16F2B124