Компанія Microsoft у рамках червневого пакета оновлений безпеки виправила вразливість CVE-2026-42897 в Exchange Server. Цей дефект типу міжсайтового скриптингу активно використовувався хакерами для атак на користувачів веб-інтерфейсу Outlook Web Access. Вразливість дозволяла віддаленим зловмисникам виконувати довільний код JavaScript у браузері жертви.

Для атаки хакерам було достатньо надіслати спеціально сформований електронний лист; шкідливий сценарій спрацьовував автоматично під час відкриття повідомлення користувачем. У травні Microsoft впроваджувала тимчасові пом’якшувальні заходи через службу EEMS, але тепер Агентство з кібербезпеки США вимагає від усіх організацій негайно встановити повноцінний патч для запобігання компрометації пошти.