Recentemente, uma vulnerabilidade crítica Zero-Day, identificada como CVE-2026-42897, foi descoberta no Exchange Server, afetando especificamente o Outlook Web Access (OWA). Essa falha, que foi destacada desde o Patch Tuesday deste mês e confirmada até 17 de maio, permite que um código malicioso seja executado apenas ao visualizar um e-mail no OWA, sem necessidade de interação do usuário.
A falha está relacionada à neutralização inadequada de entradas, permitindo que um e-mail com um payload malicioso execute JavaScript no navegador da vítima. Isso ocorre devido a brechas entre as validações de back-end e as execuções de front-end, especialmente em contextos complexos de renderização de HTML.
Até 21 de maio de 2026, as soluções temporárias para mitigar essa falha têm causado problemas em funcionalidades do OWA. Instituições como o Instituto de Tecnologia de Karlsruhe (KIT) relataram que a mitigação, embora bloqueie o JavaScript, interfere em operações como impressão de calendários, visualização de imagens inline e publicação de calendários, resultando em erros 500.
Desenvolvedores devem prestar atenção especial à segurança ao lidar com dados de terceiros. É crucial implementar uma Content Security Policy (CSP) restritiva para evitar a execução de scripts não assinados. Além disso, é essencial aplicar Context-Aware Encoding para garantir que a codificação de dados seja adequada ao contexto de saída, prevenindo bypasses.
Essas práticas são fundamentais para proteger aplicações que consomem dados externos, como webhooks e APIs, e devem ser consideradas seriamente para evitar vulnerabilidades como a discutida.
