Uma prova de conceito pública foi divulgada para uma vulnerabilidade de alta gravidade no Microsoft Exchange Server, aumentando o risco de exploração contra ambientes locais que ainda não aplicaram as correções de junho de 2026. A falha, identificada como CVE-2026-45504, afeta Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition em instalações locais. A Microsoft corrigiu o problema nas atualizações de segurança publicadas em 9 de junho de 2026.
O problema permite que um usuário autenticado com baixo privilégio leia arquivos arbitrários no servidor Exchange. Embora a exploração exija uma conta válida com caixa postal, o impacto pode ser significativo em empresas onde credenciais comuns já foram comprometidas.
A vulnerabilidade está ligada à integração do Exchange com recursos de visualização de documentos. Em determinadas condições, um invasor pode manipular o fluxo usado para gerar prévias e fazer o servidor acessar arquivos locais indevidamente.
A divulgação de um exploit funcional torna o cenário mais urgente. Mesmo que a Microsoft tenha avaliado inicialmente a exploração como improvável, a disponibilidade de código público reduz a barreira técnica para criminosos e operadores de ameaças.
As empresas devem aplicar imediatamente as atualizações de segurança correspondentes às versões Exchange 2016 CU23, Exchange 2019 CU14 e CU15, além do Exchange Subscription Edition RTM.
