CISA přidala do katalogu Known Exploited Vulnerabilities jednu aktivně zneužívanou chybu v Microsoft Exchange Serveru. Ve stejném týdnu se do hledáčku dostala i kritická zranitelnost v Cisco Catalyst SD-WAN s maximálním CVSS skóre.

CVE-2026-42897 – Microsoft Exchange Server. Zranitelnost s CVSS skóre 8,1 spočívá v cross-site scriptingu v komponentě Outlook Web Access. Útočník zašle oběti e-mail s upraveným obsahem a při jeho otevření v OWA a splnění dalších podmínek interakce může spustit libovolný JavaScript v kontextu prohlížeče. Jde o chybu spoofingového charakteru. Postiženy jsou Exchange Server 2016, Exchange Server 2019 a Exchange Server Subscription Edition; Exchange Online zasažen není. Microsoft zatím nevydal definitvní záplatu – jako dočasné opatření doporučuje aktivaci Exchange Emergency Mitigation Service. CISA lhůtu pro remediation u federálních úřadů stanovila na 29. 5. 2026.

CVE-2026-20182 – Cisco Catalyst SD-WAN Controller. Jde o kritické obejití autentizace s maximálním CVSS skóre 10,0. Útočník bez přihlášení může získat přístup k řídícímu prvku SD-WAN sítě, čímž ohrožuje celou podnikovou nebo provozní síť závislou na tomto kontroleru. CISA dala federálním úřadům velmi krátkou lhůtu na remediation – do 17. 5. 2026. Záplata od Cisco je k dispozici.

Postup pro provozovatele: ověřit verzi Exchange Serveru a aplikovat dočasnou mitigaci přes EEMS; záplatu nasadit ihned po vydání. U Cisco Catalyst SD-WAN aktualizovat na opravenou verzi bezodkladně – CVSS 10,0 znamená plnou vzdálenou kompromitaci bez nutnosti přihlášení.