PT-2026-7399 · Microsoft · Mshtml Framework+1

Publicado

2026-02-10

·

Atualizado

2026-06-22

·

CVE-2026-21513

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do Software Vulnerável e Versões Afetadas Microsoft Windows 10 1607 versões anteriores a 10.0.14393.8868 Microsoft Windows 10 1809 versões anteriores a 10.0.17763.8389 Microsoft Windows 10 21H2 versões anteriores a 10.0.19044.6937 Microsoft Windows 10 22H2 versões anteriores a 10.0.19045.6937
Description Uma falha no mecanismo de proteção do framework MSHTML permite que um invasor remoto não autorizado ignore recursos de segurança através de uma rede. O problema decorre de uma falha de lógica no componente ieframe.dll responsável pela navegação de hiperlinks, onde a validação insuficiente de URLs de destino permite que entradas controladas pelo invasor alcancem caminhos de execução que chamam a função ShellExecuteExW(). Isso pode ser explorado invocando o Internet Explorer usando formulários ActiveX para executar recursos locais ou remotos fora do contexto de segurança pretendido. A exploração no mundo real foi atribuída ao ator de ameaças patrocinado pelo estado russo APT28 (Fancy Bear), que utilizou arquivos .LNK maliciosos para ignorar a Marca da Web (MotW) e a Configuração de Segurança aprimorada do Internet Explorer (IE ESC). A falha também pode ser acionada por qualquer componente que incorpore o MSHTML.
Recommendations Atualizar o Microsoft Windows 10 1607 para a versão 10.0.14393.8868 ou posterior. Atualizar o Microsoft Windows 10 1809 para a versão 10.0.17763.8389 ou posterior. Atualizar o Microsoft Windows 10 21H2 para a versão 10.0.19044.6937 ou posterior. Atualizar o Microsoft Windows 10 22H2 para a versão 10.0.19045.6937 ou posterior.

Correção

RCE

DoS

Protection Mechanism Failure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-01700
CVE-2026-21513

Produtos afetados

Mshtml Framework
Windows