文章总结： MicrosoftExchangeServerOWA存在在野利用的XSS0day漏洞（CVSS8.1），攻击者通过特制邮件可触发任意JavaScript执行导致会话劫持。影响所有ExchangeServer2016/2019/SE版本，CISA要求5月29日前完成处置。建议管理员及时应用补丁并监测相关攻击活动。 综合评分： 85 文章分类： 漏洞预警,WEB安全,应用安全,解决方案,安全运营

漏洞预警 CVSS 8.1 【严重】Exchange Server OWA 在野 0day：一封邮件即可劫持会话

原创

爱坤 爱坤

爱坤sec

2026年5月19日 02:30 重庆

在小说阅读器读本章

去阅读

一 漏洞描述

Microsoft Exchange Server Outlook Web Access (OWA) 存在跨站脚本（XSS）漏洞，攻击者只需发送一封特制邮件，当目标用户在 OWA 中打开该邮件并满足特定交互条件时，即可在浏览器上下文中执行任意 JavaScript，实现欺骗攻击与会话劫持。该漏洞已确认在野利用，CISA 已纳入 KEV 清单要求 2026-05-29 前完成处置。CVSS 评分 8.1。

CVSS 评分 8.1

二 影响版本

Microsoft Exchange Server 2016（任意累积更新）Microsoft Exchange Server 2019（任意累积更新）Microsoft Exchange Server Subscription Edition (SE)Exchange Online 不受影响。

三 搜索语法

app="Microsoft-Exchange"

四 利用脚本

暂未有poc，关注爱坤，获取一手情报

五 搜索语法

exchange的含金量我就不用说吧

【严重声明】本文所涉及的工具、思路和操作手法仅用于本地安全测试以及教育目的，禁止将其用于非法入侵或对他人的系统进行攻击以及盈利，一切后果由操作者自行承担！！！下载后的24小时请删除。

更多精彩文章与工具分享 欢迎关注

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱坤sec 爱坤 爱坤《漏洞预警 CVSS 8.1 【严重】Exchange Server OWA 在野 0day：一封邮件即可劫持会话》