Microsoft heeft kwetsbaarheden verholpen in Exchange, zowel Online als on-premise. Een kwaadwillende kan de kwetsbaarheden misbruiken om zich voor te doen als andere gebruiker, zich verhoogde rechten toe te kennen, mogelijk willekeurige code uit te voeren en zo toegang te krijgen tot gevoelige gegevens.
De kwetsbaarheid in Exchange Online is inmiddels door Microsoft centraal verholpen en is opgenomen ter informatie. Hiervoor zijn geen acties benodigd.
De ernstigste kwetsbaarheid in Exchange Server (on-premise) heeft een CVSS van 9.6 toegewezen gekregen en bevindt zich in Outlook Web Access. Deze kwetsbaarheid stelt een kwaadwillende in staat om een Cross-Site-Scripting-aanval (XSS) uit te voeren en zo toegang te krijgen tot de omgeving van het slachtoffer. Er is (nog) geen actief misbruik waargenomen en er is ook geen Proof-of-Concept-code (PoC) bekend, maar Microsoft geeft aan dat zij de kans op misbruik op korte termijn waarschijnlijk achten. Met name OWA-omgevingen die publiek toegankelijk zijn lopen hierdoor verhoogd risico.
```
Microsoft Exchange Online:
|----------------|------|-------------------------------------|
| CVE-ID | CVSS | Impact |
|----------------|------|-------------------------------------|
| CVE-2026-54998 | 8.80 | Verkrijgen van verhoogde rechten |
|----------------|------|-------------------------------------|
Microsoft Exchange Server:
|----------------|------|-------------------------------------|
| CVE-ID | CVSS | Impact |
|----------------|------|-------------------------------------|
| CVE-2026-55005 | 8.80 | Uitvoeren van willekeurige code |
| CVE-2026-55006 | 7.80 | Verkrijgen van verhoogde rechten |
| CVE-2026-55008 | 9.60 | Voordoen als andere gebruiker |
| CVE-2026-55009 | 7.80 | Verkrijgen van verhoogde rechten |
|----------------|------|-------------------------------------|
```
ncsc
14-07-2026 20:31