PT-2026-7399 · Microsoft · Mshtml Framework+1
Publicado
2026-02-10
·
Atualizado
2026-06-22
·
CVE-2026-21513
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Microsoft Windows 10 1607 versões anteriores a 10.0.14393.8868
Microsoft Windows 10 1809 versões anteriores a 10.0.17763.8389
Microsoft Windows 10 21H2 versões anteriores a 10.0.19044.6937
Microsoft Windows 10 22H2 versões anteriores a 10.0.19045.6937
Description
Uma falha no mecanismo de proteção do framework MSHTML permite que um invasor remoto não autorizado ignore recursos de segurança através de uma rede. O problema decorre de uma falha de lógica no componente
ieframe.dll responsável pela navegação de hiperlinks, onde a validação insuficiente de URLs de destino permite que entradas controladas pelo invasor alcancem caminhos de execução que chamam a função ShellExecuteExW(). Isso pode ser explorado invocando o Internet Explorer usando formulários ActiveX para executar recursos locais ou remotos fora do contexto de segurança pretendido. A exploração no mundo real foi atribuída ao ator de ameaças patrocinado pelo estado russo APT28 (Fancy Bear), que utilizou arquivos .LNK maliciosos para ignorar a Marca da Web (MotW) e a Configuração de Segurança aprimorada do Internet Explorer (IE ESC). A falha também pode ser acionada por qualquer componente que incorpore o MSHTML.Recommendations
Atualizar o Microsoft Windows 10 1607 para a versão 10.0.14393.8868 ou posterior.
Atualizar o Microsoft Windows 10 1809 para a versão 10.0.17763.8389 ou posterior.
Atualizar o Microsoft Windows 10 21H2 para a versão 10.0.19044.6937 ou posterior.
Atualizar o Microsoft Windows 10 22H2 para a versão 10.0.19045.6937 ou posterior.
Correção
RCE
DoS
Protection Mechanism Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mshtml Framework
Windows