Uma nova falha de segurança foi identificada nas versões locais do Microsoft Exchange Server, que está sendo ativamente explorada. A vulnerabilidade, catalogada como CVE-2026-42897 com uma pontuação CVSS de 8.1, é um bug de falsificação resultante de uma falha de cross-site scripting. Um pesquisador anônimo foi responsável por descobrir e relatar o problema.
De acordo com a Microsoft, a falha permite que um invasor não autorizado execute spoofing através de uma rede, utilizando a neutralização inadequada de entradas durante a geração de páginas web no Exchange Server. A exploração pode ocorrer quando um email especialmente criado é aberto no Outlook Web Access, permitindo a execução de código JavaScript arbitrário no contexto do navegador.
A Microsoft está oferecendo uma mitigação temporária por meio do Exchange Emergency Mitigation Service, que aplica automaticamente uma configuração de reescrita de URL. Este serviço está ativado por padrão, mas, caso não esteja, recomenda-se habilitar o serviço Windows correspondente. A empresa também está desenvolvendo uma correção permanente para o defeito de segurança.
As versões afetadas incluem Exchange Server 2016, 2019 e a Edição de Assinatura, todas em qualquer nível de atualização. O Exchange Online não é impactado. Para ambientes com restrições de rede, a Microsoft sugere o uso da Ferramenta de Mitigação do Exchange On-Premises, aplicável em servidores individuais ou múltiplos através do Exchange Management Shell.
Não há informações detalhadas sobre a exploração da vulnerabilidade, identidade dos atacantes ou escala dos ataques. Recomenda-se seguir as orientações de mitigação da Microsoft enquanto a correção definitiva não é lançada.
Fonte:https://thehackernews.com/2026/05/on-prem-microsoft-exchange-server-cve.html
Slug: vulnerabilidade-exchange-servidor-email-malicioso
