# CVE-2026-21536 - Microsoft Devices Pricing Program RCE Não Autenticado (CVSS 9.8) > [!high] CVSS 9.8 - RCE sem autenticação no Microsoft Devices Pricing Program (DPP), serviço cloud gerenciado pela Microsoft. Corrigido automaticamente pela Microsoft no Patch Tuesday de março de 2026 - nenhuma ação necessária por clientes. ## Visão Geral O **CVE-2026-21536** é uma vulnerabilidade crítica de execução remota de código sem autenticação (RCE pré-auth) no **[[_microsoft|Microsoft]] Devices Pricing Program (DPP)**, serviço cloud da Microsoft para gerenciamento de preços e incentivos de dispositivos OEM. A falha é causada por upload irrestrito de arquivos (CWE-434), permitindo que um atacante não autenticado faça upload de arquivos maliciosos e execute código no servidor. Como serviço cloud, a Microsoft aplicou o patch diretamente na infraestrutura no Patch Tuesday de março de 2026 — clientes não precisam tomar nenhuma ação. Embora o impacto direto seja nulo para os clientes (dado o modelo cloud), este CVE é relevante como indicador de postura: serviços cloud de grandes fornecedores também apresentam vulnerabilidades críticas. Organizações devem incorporar avaliações de risco de dependência cloud em seu programa de gestão de vulnerabilidades, considerando o impacto potencial caso serviços de terceiros sejam comprometidos. A nota também serve como referência técnica para auditorias de endpoints de upload em sistemas próprios que implementam padrão similar (CWE-434). **CVE-2026-21536** é uma vulnerabilidade crítica de **execução remota de código sem autenticação** (RCE pré-auth) no **Microsoft Devices Pricing Program (DPP)**, um serviço cloud da Microsoft para gerenciamento de preços e incentivos de dispositivos. A falha é causada por **upload irrestrito de arquivos** (CWE-434 - Unrestricted Upload of File with Dangerous Type), permitindo que um atacante não autenticado faça upload de arquivos maliciosos e execute código no servidor. A vulnerabilidade é notável por sua pontuação CVSS **9.8** e pelo vetor `PR:N/UI:N` - sem necessidade de autenticação ou interação do usuário. Contudo, como é um serviço cloud, a Microsoft aplicou a correção diretamente na infraestrutura sem necessidade de ação por parte dos clientes. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - Vetor: `AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H` - EPSS: ~50% - Exploração ativa: **não confirmada** - **Nenhuma ação necessária por clientes** - serviço cloud corrigido pela Microsoft > [!warning] Apesar da pontuação CVSS crítica, como este é um serviço cloud gerenciado pela Microsoft, os clientes não precisam aplicar patches. A vulnerabilidade foi proativamente corrigida pela Microsoft na infraestrutura. ## Resumo Técnico ```mermaid graph TB A["🔍 CVE-2026-21536 · CVSS 9.8<br/>Microsoft DPP - File Upload RCE"] --> B["🎯 Acessar Serviço Cloud DPP<br/>Microsoft Devices Pricing<br/>endpoint público sem auth"] B --> C["💥 Upload de Arquivo Malicioso<br/>CWE-434 Unrestricted Upload<br/>sem validação de tipo"] C --> D["🔧 RCE no Servidor Cloud<br/>Execução de código arbitrário<br/>no ambiente Microsoft Azure"] D --> E["🔧 Acesso ao Ambiente Cloud<br/>Movimentação lateral<br/>em infraestrutura Microsoft"] E --> F["💀 Comprometimento Cloud<br/>Corrigido automaticamente<br/>pela Microsoft (sem ação do cliente)"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` ## Exploração A vulnerabilidade explora a ausência de válidação adequada de tipos de arquivo em um endpoint de upload do Microsoft Devices Pricing Program. Um atacante não autenticado poderia enviar um arquivo com extensão perigosa (script, executável, webshell) que seria processado ou executado pelo servidor. **Características:** - **Tipo:** Upload irrestrito de arquivo (CWE-434) - **Autenticação:** não necessária - **Interação:** não necessária - **Complexidade:** baixa **Status de exploração:** Não há evidências de exploração ativa no momento da análise. A Microsoft aplicou a correção proativamente antes de qualquer relatório de exploração pública. ## Impacto Para a infraestrutura cloud Microsoft (já corrigida): - **RCE potencial no servidor DPP:** execução de código no serviço de pricing de dispositivos - **Acesso a dados de pricing e incentivos:** informações sobre programas de dispositivos OEM parceiros da Microsoft - **Comprometimento do serviço:** possível disrupção do programa de incentivos/pricing **Para clientes:** - **Impacto direto: nenhum** - o serviço é gerenciado pela Microsoft e não está instalado em ambientes de clientes - **Ponto de atenção:** a existência desta vulnerabilidade em um serviço cloud Microsoft confirma que serviços de terceiros (incluindo Microsoft) também têm falhas; importante para avaliações de risco de dependência de cloud ## Mitigação **Nenhuma ação necessária:** - A Microsoft corrigiu a vulnerabilidade diretamente na infraestrutura cloud durante o Patch Tuesday de março de 2026 - Não há patches para aplicar em ambientes de clientes - Referência: [Microsoft Security Update Guide - CVE-2026-21536](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21536) **Lições para ambientes próprios:** Embora não requer ação imediata, esta CVE serve como referência para organizações auditarem seus próprios sistemas de upload de arquivos: - Validar tipo MIME e extensão de arquivos enviados - Armazenar uploads em diretórios sem permissão de execução - Usar antivírus/análise de conteúdo em arquivos carregados ## Notas Relacionadas **CVEs do mesmo Patch Tuesday (março 2026):** [[cve-2026-26110|CVE-2026-26110]] · [[cve-2026-21509|CVE-2026-21509]] · [[cve-2026-21510|CVE-2026-21510]] · [[cve-2026-21513|CVE-2026-21513]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Contexto:** Vulnerabilidade em serviço cloud Microsoft - não requer ação de clientes, mas relevante para avaliação de postura de segurança cloud > [!latam] Para organizações brasileiras que dependem de serviços Microsoft cloud, este CVE reforça a importância de mapear dependências em serviços de terceiros e incluí-las na análise de risco. O modelo cloud da Microsoft garante correção automática, mas organizações devem auditar seus próprios sistemas com endpoints de upload utilizando os mesmos vetores (CWE-434) - padrão comum em aplicações web corporativas no Brasil. ## Mitigações para Sistemas Próprios (Referência) - [[m1013-application-developer-guidance|M1013 - Application Developer Guidance]] - Validar tipo MIME e extensão de arquivos em endpoints de upload - [[m1022-restrict-file-and-directory-permissions|M1022 - Restrict File and Directory Permissions]] - Diretórios de upload sem permissão de execução - [[m1049-antivirusantimalware|M1049 - Antivirus/Antimalware]] - Análise de conteúdo em arquivos carregados por usuários