CVE-2024-21410
Microsoft Exchange Server Elevation of Privilege Vulnerability
Vexday Risk Score
83Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 9.8EPSS 12.7%KEV simPoC públicaNuclei —Metasploit —Patch referenciado
Ciclo de vida
13 fev 2024Publicada no NVD
15 fev 2024Exploração ativa (CISA KEV)
27 mar 2026PoC pública
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Uma falha crítica no Microsoft Exchange Server permite que um usuário autenticado obtenha privilégios de administrador do sistema sem autorização adequada. Isso deixa o servidor de e-mail vulnerável a ataques que visam tomar controle total.
Detalhe técnico
Uma vulnerabilidade de elevação de privilégio (CWE-287) no Microsoft Exchange Server permite que um usuário autenticado escale seus privilégios para nível SYSTEM. O ataque requer credenciais válidas, mas sem complexidade adicional; a exploração bem-sucedida concede controle administrativo completo do ambiente Exchange.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Microsoft Exchange Server Elevation of Privilege Vulnerability
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
Produtos afetados
Microsoft · Microsoft Exchange Server 2016 Cumulative Update 23Microsoft · Microsoft Exchange Server 2019 Cumulative Update 13Microsoft · Microsoft Exchange Server 2019 Cumulative Update 14PoCs públicas encontradas — 1
githubgithub.com/Piyush20004/SentinelStream-AI★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →