A Microsoft confirmou que uma vulnerabilidade no Exchange Server local está sendo explorada em ataques reais por meio de e-mails especialmente criados. A falha afeta ambientes on-premises e não atinge o Exchange Online.
Rastreada como CVE-2026-42897, a vulnerabilidade recebeu pontuação CVSS 8.1 e foi classificada como uma falha de spoofing causada por Cross-Site Scripting no processo de geração de páginas do Exchange Server.
Segundo a Microsoft, um invasor não autorizado pode explorar o problema pela rede ao enviar um e-mail malicioso para um usuário. Quando a mensagem é aberta no Outlook Web Access, sob determinadas condições de interação, código JavaScript arbitrário pode ser executado no navegador da vítima.
O impacto pode envolver manipulação visual de conteúdo, roubo de informações acessíveis na sessão web e ações realizadas no contexto do usuário autenticado. Em ambientes corporativos, isso representa risco adicional para contas com acesso a caixas postais sensíveis.
As versões afetadas incluem Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition, em qualquer nível de atualização.
A Microsoft informou que ainda prepara uma correção permanente para o problema. Como resposta temporária, a empresa disponibilizou mitigação automática por meio do Exchange Emergency Mitigation Service, ativado por padrão. A medida aplica uma configuração de reescrita de URL para reduzir a exposição até a chegada do patch definitivo.
A CISA adicionou a CVE-2026-42897 ao catálogo de vulnerabilidades exploradas conhecidas em 15 de maio de 2026, exigindo que agências civis federais dos Estados Unidos adotem mitigação até 29 de maio de 2026.
