Três vulnerabilidades críticas no Microsoft Edge — descobertas pelo pesquisador Orange Tsai durante o Pwn2Own e divulgadas em 4 de junho de 2026 — permitem que atacantes remotos executem código arbitrário após induzir a vítima a acessar uma página maliciosa. As falhas, rastreadas como CVE-2026-45492, CVE-2026-45494 e CVE-2026-45495, podem ser encadeadas para obter execução completa de código no contexto do usuário.
O que as falhas permitem
As três vulnerabilidades afetam componentes distintos do Edge e variam em gravidade. A mais severa, CVE-2026-45495 (CVSS 7,5), é uma falha de directory traversal no mecanismo de feedback log do navegador. Um atacante pode manipular caminhos de arquivo para escapar do diretório restrito e executar código remoto com os privilégios do usuário logado.
A CVE-2026-45494 (CVSS 5,0) é uma vulnerabilidade Universal Cross-Site Scripting (UXSS) na lógica de navegação do Edge. Ela permite a injeção de scripts maliciosos no contexto de qualquer domínio que a vítima esteja visitando — risco elevado em ambientes corporativos onde funcionários mantêm sessões autenticadas em sistemas internos.
A CVE-2026-45492 (CVSS 4,3) é uma falha de validação de origem no mecanismo de login gerenciado entre dispositivos. Isolada, permite bypass de controles de segurança; combinada com as outras duas, viabiliza uma cadeia completa de ataque.
| CVE | CVSS | Tipo | Impacto |
|---|---|---|---|
| CVE-2026-45495 | 7,5 | Directory Traversal | Execução remota de código |
| CVE-2026-45494 | 5,0 | UXSS | Cross-site scripting universal |
| CVE-2026-45492 | 4,3 | Validação de origem | Bypass de segurança |
Como funciona o encadeamento
As três falhas foram projetadas para operar em conjunto. Na cadeia de ataque, a CVE-2026-45492 contorna os controles de segurança de origem do navegador, abrindo caminho para a CVE-2026-45494 injetar scripts em domínios arbitrários via UXSS. Por fim, a CVE-2026-45495 usa o traversal de diretórios para atingir execução remota de código total no sistema da vítima.
Todas as falhas exigem interação do usuário — visitar uma página maliciosa ou abrir um arquivo — mas não requerem privilégios elevados. Segundo o relatório da Zero Day Initiative (ZDI), o pesquisador Orange Tsai, da DEVCORE Research Team, demonstrou a exploração durante o Pwn2Own e reportou as falhas à Microsoft em 20 de maio de 2026.
Patches já disponíveis
A Microsoft liberou correções para as três vulnerabilidades via Microsoft Security Response Center (MSRC). A atualização do Edge para a versão 148.0.3967.70 ou superior aplica todos os patches. Organizações que utilizam Edge como navegador padrão devem priorizar a implantação imediata.
A semelhança com outras vulnerabilidades zero-day corrigidas recentemente em navegadores reforça a necessidade de manter políticas rigorosas de atualização. Em ambientes corporativos, o risco da UXSS (CVE-2026-45494) é amplificado quando funcionários acessam portais internos autenticados no mesmo navegador.
Medidas imediatas de proteção
- Atualizar o Edge para a versão 148.0.3967.70 ou superior imediatamente
- Em ambientes corporativos, forçar a atualização via gerenciamento de patches (WSUS, Intune)
- Restringir instalação de extensões não verificadas no Edge
- Implementar Content Security Policy (CSP) em aplicações web internas para mitigar UXSS
- Monitorar logs de navegação para acesso a domínios suspeitos