← voltar
CVE-2026-42897

Microsoft Exchange Server Spoofing Vulnerability

CVSS 8.1 HIGHEPSS 5.6%● KEVCWE-79
Vexday Risk Score
71Prioridade alta
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 8.1EPSS 5.6%KEV simPoC públicaNuclei Metasploit Patch referenciado
Ciclo de vida
14 mai 2026Publicada no NVD
15 mai 2026Exploração ativa (CISA KEV)
15 mai 2026PoC pública
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo

O Microsoft Exchange Server não limpa adequadamente as informações inseridas pelos usuários em páginas web, permitindo que atacantes injetem código malicioso para enganar usuários fazendo-os acreditar em mensagens ou ações falsas. Isso é perigoso porque os atacantes podem se passar por comunicações legítimas para roubar credenciais ou espalhar desinformação.

Detalhe técnico

Uma vulnerabilidade de cross-site scripting (XSS) na interface web do Microsoft Exchange Server falha em sanitizar entrada controlada pelo usuário durante a geração de páginas, permitindo que atacantes injetem scripts arbitrários executados nos navegadores das vítimas. Essa vulnerabilidade pode ser explorada pela rede para realizar ataques de spoofing, comprometendo a integridade da autenticação e gerenciamento de sessões.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Improper neutralization of input during web page generation ('cross-site scripting') in Microsoft Exchange Server allows an unauthorized attacker to perform spoofing over a network.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N/E:F/RL:O/RC:C
Produtos afetados
Microsoft · Microsoft Exchange Server 2016 Cumulative Update 23Microsoft · Microsoft Exchange Server 2019 Cumulative Update 14Microsoft · Microsoft Exchange Server 2019 Cumulative Update 15Microsoft · Microsoft Exchange Server Subscription Edition RTM
PoCs públicas encontradas1
githubgithub.com/atiilla/CVE-2026-428974
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-42897