PT-2026-40978 · Microsoft · Exchange Server
Publicado
2026-05-14
·
Atualizado
2026-07-07
·
CVE-2026-42897
CVSS v2.0
9.4
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do Software Vulnerável e Versões Afetadas
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
Microsoft Exchange Server Subscription Edition
Description
Uma neutralização inadequada de entrada durante a geração de páginas web resulta em uma falha de cross-site scripting (XSS) no Outlook Web Access (OWA). Um invasor remoto pode explorar isso enviando um e-mail especialmente criado; se um usuário abrir a mensagem no OWA e certas condições de interação forem atendidas, JavaScript arbitrário é executado na sessão do navegador da vítima. Isso permite que o invasor realize spoofing, sequestre sessões autenticadas, roube credenciais e acesse dados da caixa de correio. O problema tem sido explorado ativamente, visando ambientes locais para obter acesso à identidade e comunicações corporativas.
Recommendations
Para o Microsoft Exchange Server Subscription Edition, aplique a atualização RTM ou a Atualização de Segurança de junho de 2026.
Para o Microsoft Exchange Server 2016, aplique o CU23 (requer inscrição no programa Period 2 Extended Security Update) ou a Atualização de Segurança de junho de 2026.
Para o Microsoft Exchange Server 2019, aplique o CU14 ou CU15 (requer inscrição no programa Period 2 Extended Security Update) ou a Atualização de Segurança de junho de 2026.
Como mitigação temporária, habilite o Exchange Emergency Mitigation Service (EEMS) para aplicar automaticamente as proteções de IIS URL Rewrite.
Para ambientes isolados (air-gapped), execute a ferramenta Exchange on-premises Mitigation Tool (EOMT) usando o comando
.EOMT.ps1 -CVE "CVE-2026-42897".
Restrinja a exposição externa da interface OWA sempre que possível para minimizar a superfície de ataque.Exploit
Correção
RCE
DoS
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Exchange Server