漏洞描述

2021年11月23日，亚信安全应急响应中心（亚信安全 CERT）监测发现Microsoft Exchange Server远程代码执行漏洞（CVE-2021-42321）相关利用细节及PoC公开在网络上。经过身份验证的远程攻击者可利用此漏洞在目标服务器上执行任意代码。该漏洞CVSS 3.0评分为8.8分，属于高危漏洞，亚信安全CERT建议所有使用Microsoft Exchange Server进行邮件收发管理的客户及时更新软件。

Microsoft Exchange Server是微软公司开发设计的一套电子邮件系统。其除了提供通常的邮件服务功能外，还支持SMTP、POP、IMAP4、LADP、NNTP相关协议，常被用于构建企业、学习的邮件系统或免费邮件系统。

漏洞编号

CVE-2021-42321：Microsoft Exchange Server远程代码执行漏洞

漏洞等级

CVSS 3.0 ：8.8（高危）

漏洞状态

受影响的版本

• Microsoft Exchange Server 2016 Cumulative Update 21

• Microsoft Exchange Server 2016 Cumulative Update 22

• Microsoft Exchange Server 2019 Cumulative Update 10

• Microsoft Exchange Server 2019 Cumulative Update 11

修复建议

目前官方已发布Microsoft Exchange Server的安全修复版本，请及时更新到安全版本。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42321