Microsoft Exchange Server 服务器端请求伪造漏洞(CVE-2026-45504)

北京赛克艾威科技有限公司 2026-06-09


  • 漏洞编号:CVE-2026-45504
  • 漏洞等级:高危
  • 漏洞标签:影响十万级、技术细节公开、POC公开、关键漏洞
  • 发布时间:2026-06-09

漏洞描述

Microsoft Exchange Server 是微软推出的企业级邮件与协作服务器平台,广泛应用于全球各类组织中,提供电子邮件收发、日历管理、联系人同步、任务调度及会议安排等核心功能。该平台支持本地部署和云端部署两种模式,通过 Outlook 客户端、Outlook Web Access\(OWA\)及移动设备等多种方式为用户提供统一的邮件通信与协作体验。Exchange Server 作为企业 IT 基础设施的核心组件,承载着组织内部及外部的关键通信数据,其安全性直接关系到企业信息资产的保密性、完整性和可用性。 该漏洞源于 Exchange Server 在处理用户输入时缺乏充分的输入验证,允许已通过身份验证的低权限用户向 Exchange Server 发送特制的 HTTP 请求,诱使服务器向任意目标系统发起请求。攻击者可利用该漏洞实现权限提升,读取 Exchange 服务器上的任意文件,进而可能完全控制邮件服务器或访问敏感数据。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/467856