CVE-2024-21410
Microsoft Exchange Server Elevation of Privilege Vulnerability
Vexday Risk Score
83Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 9.8EPSS 12.7%KEV simPoC públicaNuclei —Metasploit —Patch referenciado
Ciclo de vida
13 feb 2024Publicada en NVD
15 feb 2024Explotación activa (CISA KEV)
27 mar 2026PoC pública
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una falla crítica en Microsoft Exchange Server permite que un usuario autenticado obtenga privilegios de administrador del sistema sin la debida autorización. Esta vulnerabilidad habilita a atacantes con acceso básico a tomar control total del servidor de correo.
Detalle técnico
Una vulnerabilidad de elevación de privilegios (CWE-287) en Microsoft Exchange Server permite el escalado de un usuario autenticado a nivel SYSTEM. El ataque requiere credenciales válidas pero sin complejidad adicional; la explotación exitosa otorga control administrativo completo del entorno Exchange.
Resumen generado y traducido por IA a partir de la descripción oficial.
Microsoft Exchange Server Elevation of Privilege Vulnerability
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
Productos afectados
Microsoft · Microsoft Exchange Server 2016 Cumulative Update 23Microsoft · Microsoft Exchange Server 2019 Cumulative Update 13Microsoft · Microsoft Exchange Server 2019 Cumulative Update 14PoCs públicas encontradas — 1
githubgithub.com/Piyush20004/SentinelStream-AI★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →