Microsoft a corrigé une vulnérabilité de type cross-site scripting (XSS) dans Exchange Server. Repérée sous le nom de CVE-2021-41349 avec un score CVSS de 6.5, la faille a été découverte par les chercheurs en sécurité de chez Vimeo, Rahul Maini et Harsh Jaiswal. Cette vulnérabilité permet à un attaquant distant de réaliser une attaque par usurpation d'identité. Elle est due à un traitement incorrect des données fournies par l'utilisateur dans Microsoft Exchange Server.

La faille d'usurpation d'identité de gravité moyenne a une faible complexité d'attaque, selon Microsoft, qui a publié un avis de sécurité indiquant qu'il n'y avait pas encore de preuve existante d'une exploitation dans la nature, bien que la réussite de son exploitation puisse conduire à la lecture et à l'envoi de courriels, à l'hameçonnage ou encore à des actions modifiant l'état de l'application.

Maini, l'un des chercheurs qui a trouvé cette vulnérabilité, a déclaré que l'exploit fonctionnerait sur presque toutes les Outlook Web App non patchées, et sur toute instance on-premise.

Microsoft a publié cinq mises à jour logicielles applicables à Exchange Server 2013, 2016 et 2019 qui corrigent la vulnérabilité.

Les administrateurs des serveurs de messagerie sont invités à appliquer les correctifs pour éviter toutes éventuelles exploitations.