文章总结： CVE-2026-45504是微软ExchangeServer的高危SSRF漏洞，CVSS评分8.8，允许低权限认证用户通过伪造请求提升权限，从而控制内网资源。漏洞影响Exchange2016/2019/SE版本，建议立即安装6月补丁并加强访问控制。 综合评分： 83 文章分类： 漏洞分析,威胁情报,应急响应,WEB安全,云安全

【视频】Microsoft_Exchange CVE-2026-45504

黑白之道

2026年6月24日 08:33 韩国

在小说阅读器读本章

去阅读

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

黑白之道已关注

分享视频

，时长00:11

0/0

00:00/00:11

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

00:11

00:11

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

【视频】Microsoft_Exchange CVE-2026-45504

观看更多

转载

,

【视频】Microsoft_Exchange CVE-2026-45504

黑白之道已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

CVE-2026-45504 是微软在 2026年6月9日 的“补丁星期二”（Patch Tuesday）中披露的一个涉及 Microsoft Exchange Server 的高危漏洞。以下是该漏洞的简要概述：

1. 漏洞核心属性 漏洞类型：服务器端请求伪造（SSRF，Server-Side Request Forgery），追踪为 CWE-918。 威胁后果：权限提升（Elevation of Privilege, EoP）。 严重评级：High（高危），官方给出的 CVSS 3.1 评分高达 8.8。 利用条件：攻击者需要拥有低权限的已认证账户（Authenticated, Low-privileged），无需用户交互，通过网络即可利用。

2. 漏洞成因与危害 该漏洞存在于 Exchange Server 对用户输入的 URL 或主机名未进行严格验证的请求处理逻辑中。 攻击机制：低权限的认证用户可以提交恶意构造的请求，迫使 Exchange 服务器向内部网络、回环地址（Loopback）或敏感的内部管理接口发出 HTTP/HTTPS 请求。 权限继承：由于这些被伪造的请求是由 Exchange 服务器的系统账户/服务账户（Machine Account）发出的，它们会继承极高的信任权限。 实际危害：在 Exchange 与 Active Directory（域控）及内部 API 紧密结合的架构中，攻击者可借此绕过外围访问控制，读取或操纵高权限身份才能访问的资源（如修改信箱权限、传输规则、篡改角色分配等），从而实现在整个企业内网的横向移动和完全控制。

3. 受影响的版本 漏洞主要影响以下处于支持状态的在岸（On-premises）部署版本： Microsoft Exchange Server 2016 (Cumulative Update 23) Microsoft Exchange Server 2019 (Cumulative Update 14 & 15) Microsoft Exchange Server Subscription Edition (SE) RTM

视频来源：

https://x.com/hawktrace/status/2069484641208181199

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《【视频】Microsoft_Exchange CVE-2026-45504》