PT-2026-40978 · Microsoft · Exchange Server

Publicado

2026-05-14

·

Atualizado

2026-07-07

·

CVE-2026-42897

CVSS v2.0

9.4

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:N
Nome do Software Vulnerável e Versões Afetadas Microsoft Exchange Server 2016 Microsoft Exchange Server 2019 Microsoft Exchange Server Subscription Edition
Description Uma neutralização inadequada de entrada durante a geração de páginas web resulta em uma falha de cross-site scripting (XSS) no Outlook Web Access (OWA). Um invasor remoto pode explorar isso enviando um e-mail especialmente criado; se um usuário abrir a mensagem no OWA e certas condições de interação forem atendidas, JavaScript arbitrário é executado na sessão do navegador da vítima. Isso permite que o invasor realize spoofing, sequestre sessões autenticadas, roube credenciais e acesse dados da caixa de correio. O problema tem sido explorado ativamente, visando ambientes locais para obter acesso à identidade e comunicações corporativas.
Recommendations Para o Microsoft Exchange Server Subscription Edition, aplique a atualização RTM ou a Atualização de Segurança de junho de 2026. Para o Microsoft Exchange Server 2016, aplique o CU23 (requer inscrição no programa Period 2 Extended Security Update) ou a Atualização de Segurança de junho de 2026. Para o Microsoft Exchange Server 2019, aplique o CU14 ou CU15 (requer inscrição no programa Period 2 Extended Security Update) ou a Atualização de Segurança de junho de 2026. Como mitigação temporária, habilite o Exchange Emergency Mitigation Service (EEMS) para aplicar automaticamente as proteções de IIS URL Rewrite. Para ambientes isolados (air-gapped), execute a ferramenta Exchange on-premises Mitigation Tool (EOMT) usando o comando .EOMT.ps1 -CVE "CVE-2026-42897". Restrinja a exposição externa da interface OWA sempre que possível para minimizar a superfície de ataque.

Exploit

Correção

RCE

DoS

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-06919
CVE-2026-42897

Produtos afetados

Exchange Server