CVE-2026-42897

Microsoft Exchange Server Spoofing Vulnerability

CVSS 8.1 HIGHEPSS 5.6%● KEVCWE-79

Em resumo

O Microsoft Exchange Server não limpa adequadamente as informações inseridas pelos usuários em páginas web, permitindo que atacantes injetem código malicioso para enganar usuários fazendo-os acreditar em mensagens ou ações falsas. Isso é perigoso porque os atacantes podem se passar por comunicações legítimas para roubar credenciais ou espalhar desinformação.

Detalhe técnico

Uma vulnerabilidade de cross-site scripting (XSS) na interface web do Microsoft Exchange Server falha em sanitizar entrada controlada pelo usuário durante a geração de páginas, permitindo que atacantes injetem scripts arbitrários executados nos navegadores das vítimas. Essa vulnerabilidade pode ser explorada pela rede para realizar ataques de spoofing, comprometendo a integridade da autenticação e gerenciamento de sessões.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Improper neutralization of input during web page generation ('cross-site scripting') in Microsoft Exchange Server allows an unauthorized attacker to perform spoofing over a network.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N/E:F/RL:O/RC:C

Produtos afetados

Microsoft · Microsoft Exchange Server 2016 Cumulative Update 23 Microsoft · Microsoft Exchange Server 2019 Cumulative Update 14 Microsoft · Microsoft Exchange Server 2019 Cumulative Update 15 Microsoft · Microsoft Exchange Server Subscription Edition RTM

PoCs públicas encontradas — 1

githubgithub.com/atiilla/CVE-2026-42897★ 4

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-42897