{"id":5066,"date":"2026-05-19T14:48:20","date_gmt":"2026-05-19T19:48:20","guid":{"rendered":"https:\/\/cert.pa\/?p=5066"},"modified":"2026-05-19T14:48:20","modified_gmt":"2026-05-19T19:48:20","slug":"csirt-panama-aviso-2026-05-19-microsoft-advierte-sobre-vulnerabilidad-zero-day-en-exchange-server","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=5066","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2026-05-19\u00a0 Microsoft advierte sobre vulnerabilidad Zero-Day en Exchange Server"},"content":{"rendered":"\n

CSIRT Panam\u00e1 Aviso 2026-05-19  Microsoft advierte sobre vulnerabilidad Zero-Day en Exchange Server<\/p>\n\n\n\n

Gravedad: Alta
Fecha de publicaci\u00f3n: 19 de mayo de 2026
\u00daltima revisi\u00f3n: 19 de mayo de 2026<\/p>\n\n\n\n

Sistemas Afectados<\/p>\n\n\n\n

Microsoft Exchange Server<\/p>\n\n\n\n


I. Descripci\u00f3n<\/p>\n\n\n\n

Se insta a los usuarios de Microsoft Exchange Server a aplicar inmediatamente medidas de mitigaci\u00f3n ante una nueva vulnerabilidad de d\u00eda cero (zero-day) que ya est\u00e1 siendo explotada en ataques.<\/p>\n\n\n\n

Esta semana, Microsoft corrigi\u00f3 137 vulnerabilidades mediante sus actualizaciones de Patch Tuesday. Sin embargo, 48 horas despu\u00e9s, el 14 de mayo, se divulg\u00f3 una nueva vulnerabilidad de d\u00eda cero.<\/p>\n\n\n\n

La vulnerabilidad de Exchange, identificada como CVE-2026-42897, ha sido descrita como un problema de spoofing y Cross-Site Scripting (XSS) que afecta a Exchange Server Subscription Edition, 2016 y 2019.<\/p>\n\n\n\n

\u201cUna neutralizaci\u00f3n incorrecta de entradas durante la generaci\u00f3n de p\u00e1ginas web (\u2018cross-site scripting\u2019) en Microsoft Exchange Server permite que un atacante no autorizado realice spoofing a trav\u00e9s de la red\u201d, indic\u00f3 Microsoft en su aviso oficial.<\/p>\n\n\n\n

La compa\u00f1\u00eda se\u00f1al\u00f3 que la vulnerabilidad afecta a Exchange Outlook Web Access (OWA) y que un atacante puede explotarla enviando un correo electr\u00f3nico especialmente dise\u00f1ado al usuario objetivo.<\/p>\n\n\n\n

\u201cSi el usuario abre el correo electr\u00f3nico en Outlook Web Access y se cumplen ciertas condiciones de interacci\u00f3n, se puede ejecutar c\u00f3digo JavaScript arbitrario en el contexto del navegador\u201d, explic\u00f3 Microsoft.<\/p>\n\n\n\n

II. Impacto<\/p>\n\n\n\n

Spoofing a trav\u00e9s de la red.
Ejecuci\u00f3n de c\u00f3digo JavaScript arbitrario en el contexto del navegador.
Explotaci\u00f3n mediante correos electr\u00f3nicos especialmente dise\u00f1ados dirigidos a usuarios de Outlook Web Access (OWA).<\/p>\n\n\n\n

III. Referencia a soluciones, herramientas e informaci\u00f3n<\/p>\n\n\n\n

Mientras se desarrolla un parche permanente, Microsoft ha compartido algunas opciones de mitigaci\u00f3n.<\/p>\n\n\n\n

Microsoft proporcion\u00f3 la siguiente declaraci\u00f3n:<\/p>\n\n\n\n

\u201cHemos emitido el CVE-2026-42897 para abordar una vulnerabilidad de spoofing que afecta a Exchange Outlook Web Access (OWA). Recomendamos a los clientes habilitar EEMS para estar mejor protegidos y seguir nuestra gu\u00eda disponible.\u201d
<\/p>\n\n\n\n

https:\/\/techcommunity.microsoft.com\/blog\/exchange\/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897\/4518498<\/a><\/p>\n\n\n\n

\nhttps:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-42897\n<\/div><\/figure>\n\n\n\n
\nhttps:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2026-42897\n<\/div><\/figure>\n\n\n\n

Informaci\u00f3n de contacto<\/p>\n\n\n\n

CSIRT PANAMA
Computer Security Incident Response Team
Autoridad Nacional para la Innovaci\u00f3n Gubernamental<\/p>\n\n\n\n

E-Mail: info@cert.pa
Phone: +507 520-2378
Web: CSIRT Panam\u00e1
X: @CSIRTPanama
Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"

CSIRT Panam\u00e1 Aviso 2026-05-19  Microsoft advierte sobre vulnerabilidad Zero-Day en Exchange Server Gravedad: AltaFecha de publicaci\u00f3n: 19 de mayo de 2026\u00daltima revisi\u00f3n: 19 de mayo de 2026 Sistemas Afectados Microsoft Exchange Server I. Descripci\u00f3n Se…<\/p>\n","protected":false},"author":5,"featured_media":2767,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[72,141,9,80],"class_list":["post-5066","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos-de-seguridad","tag-exchange","tag-microsoft","tag-vulnerabilidad"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5066","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5066"}],"version-history":[{"count":2,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5066\/revisions"}],"predecessor-version":[{"id":5068,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5066\/revisions\/5068"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/2767"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5066"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5066"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5066"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}