CVE-2026-26137 是 Microsoft Exchange Online 中的一个服务器端请求伪造 (SSRF) 漏洞。该漏洞允许经过身份验证的攻击者提升网络权限,可能导致敏感数据泄露或未经授权的访问。此漏洞影响 Microsoft Exchange Online 1.0.0 及更早版本。目前尚未发布官方补丁,建议采取缓解措施。
攻击者利用此 SSRF 漏洞可以绕过访问控制,访问内部网络资源,例如数据库、API 和其他敏感服务。攻击者可以利用此漏洞读取内部文件,执行未经授权的操作,甚至可能控制受影响的系统。由于 Exchange Online 在许多组织中扮演着关键角色,因此该漏洞的潜在影响非常大,可能导致数据泄露、业务中断和声誉损害。攻击者可能利用此漏洞进行横向移动,进一步扩大攻击范围。
CVE-2026-26137 已于 2026 年 3 月 19 日公开披露。目前尚无公开的利用程序 (PoC),但由于 SSRF 漏洞的普遍性,预计未来可能会出现。该漏洞的风险等级取决于组织的网络配置和安全措施。建议密切关注 CISA 和 Microsoft 的安全公告。
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
由于尚未发布官方补丁,建议采取以下缓解措施:首先,限制 Exchange Online 用户的权限,只授予其完成工作所需的最低权限。其次,实施网络分段,将 Exchange Online 与其他敏感系统隔离。第三,配置网络防火墙和 Web 应用防火墙 (WAF),以阻止对内部资源的未经授权访问。第四,监控 Exchange Online 的日志,以检测可疑活动。最后,定期审查 Exchange Online 的配置,以确保其安全。
Microsoft 已发布安全更新以解决此漏洞。 尽快应用 Microsoft 提供的最新更新,以降低通过 SSRF 提升权限的风险。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-26137 是 Microsoft Exchange Online 中的一个服务器端请求伪造 (SSRF) 漏洞,允许攻击者提升网络权限。
如果您正在使用 Microsoft Exchange Online 1.0.0 或更早版本,则可能受到影响。请立即采取缓解措施。
目前尚未发布官方补丁。建议采取缓解措施,例如限制用户权限、实施网络分段和配置 WAF。
目前尚无公开的利用程序,但由于 SSRF 漏洞的普遍性,预计未来可能会出现。
请访问 Microsoft 安全响应中心,查找有关此漏洞的官方公告:https://msrc.microsoft.com/
CVSS 向量