针对CVE-2026-45504漏洞的公开概念验证（PoC）利用代码已发布，该高危级服务器端请求伪造（SSRF）漏洞存在于微软Exchange Server中，攻击者可通过任意文件读取实现权限提升。该漏洞影响本地部署的Exchange Server 2016和2019（包括订阅版），微软已在2026年6月9日的安全更新中修复。

CVE-2026-45504源于Exchange与SharePoint及WOPI集成生成WAC文档预览URL时的缺陷。在存在漏洞的流程中，Exchange使用GetTokenRequestWebResponse和GetWacUrl等辅助函数，这些函数调用OneDriveProUtilities.TryTwice基于攻击者可控的URL发起HTTP请求，然后解析包含WebApplicationUrl、AccessToken和AccessTokenTtl的OData XML响应。

由于Exchange未验证WOPI提供商返回的WebApplicationUrl字段的URL方案，攻击者可提供非HTTP方案（如file://），该方案会被直接用于构建最终WAC URL。

这一缺失的验证将SSRF原语转化为Exchange服务器上的任意文件读取漏洞。利用过程依赖于URI处理中的片段字符#技巧：当攻击者控制的WOPI端点返回形如file:///C:/windows/win.ini#的WebApplicationUrl时，Exchange会附加OAuth查询参数形成完整URL，但URI解析器会将#后的内容视为片段而忽略，实际访问路径仍为file:///C:/windows/win.ini。

通过选择敏感路径，攻击者可窃取配置文件、凭据材料等关键数据，进而实现权限提升。要实施攻击，攻击者只需拥有一个低权限Exchange邮箱账户及网络访问权限。

典型攻击通过Exchange Web Services创建ReferenceAttachment实现，其ProviderEndpointUrl指向攻击者控制的服务器。当受害者在Outlook网页版或其他Exchange客户端中预览该附件时，Exchange会自动触发WOPI令牌获取链，向攻击者端点发送GetWopiTargetPropertiesByUrl请求。恶意WOPI响应注入精心构造的file:// WebApplicationUrl，从而触发本地文件读取。

根据HawkTrace披露，公开PoC已证实可在Exchange Server 2019上读取C:\Windows\win.ini等敏感文件。

微软将该漏洞评为权限提升漏洞，CVSS v3.1评分为8.8（AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H），强调低权限认证用户通过网络利用时对机密性、完整性和可用性的高影响。

安全更新适用于Exchange Server 2016 CU23、Exchange Server 2019 CU14/CU15及Exchange Server订阅版RTM（分别对应KB5094144、KB5094142、KB5094140和KB5094139）。微软最初评估漏洞利用可能性较低，但功能型利用代码的发布增加了威胁行为者攻击未修补系统的风险。

管理员应立即应用2026年6月9日安全更新，并验证服务器版本号与微软文档中修补后的构建号匹配。在全面修补前，建议采取以下缓解措施：

从检测角度看，关联异常的WOPI/WAC令牌请求、与攻击者基础设施的出站连接以及Exchange主机上意外的本地文件访问行为，有助于识别针对CVE-2026-45504的利用尝试。