Uma nova vulnerabilidade de segurança foi identificada nas versões locais do Microsoft Exchange Server, que está sendo ativamente explorada. A falha, registrada como CVE-2026-42897 com uma pontuação CVSS de 8.1, é um bug de falsificação decorrente de uma falha de cross-site scripting. Um pesquisador anônimo foi responsável pela descoberta e relato do problema.
De acordo com a Microsoft, a falha permite que um invasor não autorizado realize falsificações através da neutralização inadequada de entradas durante a geração de páginas web. Isso pode ser explorado ao enviar um e-mail malicioso para um usuário, que, ao ser aberto no Outlook Web Access e sob certas condições de interação, pode permitir a execução de código JavaScript arbitrário no contexto do navegador.
A Microsoft está oferecendo uma mitigação temporária através do Exchange Emergency Mitigation Service, que aplica automaticamente uma configuração de reescrita de URL. Este serviço está habilitado por padrão, mas se não estiver, os usuários são aconselhados a ativá-lo. Caso o uso deste serviço não seja possível devido a restrições, a empresa fornece um conjunto de ações alternativas, como o uso da ferramenta de mitigação EOMT.
As versões afetadas incluem Exchange Server 2016, 2019 e Subscription Edition, em qualquer nível de atualização. A Microsoft afirmou que o Exchange Online não é afetado por essa vulnerabilidade. Embora ainda não haja detalhes sobre como a falha está sendo explorada ou quem são os responsáveis, é recomendado que as mitigações sugeridas pela Microsoft sejam aplicadas imediatamente.
Fonte:https://thehackernews.com/2026/05/on-prem-microsoft-exchange-server-cve.html
