Plataforma
dotnet
Componente
microsoft-account
A vulnerabilidade CVE-2026-21264 é uma falha de Cross-Site Scripting (XSS) de severidade crítica identificada na Microsoft Account. Essa falha permite que um atacante malicioso execute scripts em páginas web geradas, possibilitando ataques de spoofing em rede. Versões afetadas incluem todas as versões anteriores ou iguais a uma versão não especificada (≤-), exigindo atenção imediata para evitar comprometimento de contas.
Um atacante explorando esta vulnerabilidade XSS pode injetar scripts maliciosos em páginas da Microsoft Account visualizadas por outros usuários. Isso pode levar ao roubo de credenciais de login, redirecionamento para sites falsos (phishing) e execução de ações em nome do usuário afetado sem o seu conhecimento. O ataque de spoofing em rede permite que o atacante se passe por uma entidade confiável, induzindo o usuário a fornecer informações confidenciais. A ausência de uma versão específica para correção aumenta o risco, pois a vulnerabilidade pode estar presente em diversas configurações e versões da Microsoft Account.
A vulnerabilidade foi divulgada em 22 de janeiro de 2026. Não há informações disponíveis sobre a adição à KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de Proof-of-Concepts (PoCs) públicos. A probabilidade de exploração é considerada alta devido à severidade da vulnerabilidade e à sua natureza de XSS, que é frequentemente explorada em ataques direcionados.
Users who frequently access Microsoft Account services through web browsers are at risk. This includes individuals using Microsoft services for email, cloud storage, or other online activities. Users who rely on Microsoft Account for single sign-on (SSO) to other applications are also at increased risk.
disclosure
Status do Exploit
EPSS
0.04% (percentil 14%)
CISA SSVC
Vetor CVSS
Devido à falta de uma versão específica corrigida, a mitigação imediata envolve a implementação de medidas de segurança adicionais. Utilize um Web Application Firewall (WAF) para filtrar e bloquear solicitações maliciosas que contenham payloads XSS. Configure regras de proxy para inspecionar o tráfego de entrada e saída, identificando e bloqueando padrões suspeitos. Implemente políticas de segurança de conteúdo (CSP) para restringir as fontes de scripts que podem ser executados na página. Monitore logs de acesso e erro em busca de atividades anormais e tentativas de exploração. Após a implementação das medidas, verifique a correção através de testes de penetração e análise de vulnerabilidades.
Microsoft recomenda aplicar as atualizações de segurança mais recentes para se proteger contra esta vulnerabilidade. Consulte o boletim de segurança da Microsoft para obter mais informações e as atualizações correspondentes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-21264 is a critical cross-site scripting (XSS) vulnerability in Microsoft Account that allows attackers to potentially perform spoofing attacks over a network due to improper input neutralization.
If you are using Microsoft Account prior to the release of a patch, you are potentially affected by this vulnerability. Monitor Microsoft's security advisories for updates.
Upgrade to the latest patched version of Microsoft Account as soon as it becomes available. Until then, exercise caution and consider enabling multi-factor authentication.
While no active exploitation has been confirmed, the vulnerability's severity and XSS nature suggest a high likelihood of exploitation. Monitor security advisories for updates.
Refer to the official Microsoft Security Response Center (MSRC) website for the latest advisory regarding CVE-2026-21264: https://msrc.microsoft.com/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo packages.lock.json e descubra na hora se você está afetado.