Voltar ao início do blog

Microsoft SharePoint CVE-2026-45659 e explorada sem interacao humana

Vulnerabilidade

Microsoft SharePoint CVE-2026-45659: corrija já

Falha permite execução de código por usuários autenticados com poucos privilégios.

Microsoft SharePoint CVE-2026-45659 e explorada sem interacao humana

Resumo rapido

A CISA alertou que a CVE-2026-45659 no Microsoft SharePoint já está sendo explorada por atacantes. A correção saiu em 21 de maio, mas servidores sem atualização seguem expostos. O risco é alto porque um usuário autenticado com permissão baixa consegue executar código remotamente, sem interação de outra pessoa.

Neste artigo voce vai aprender:

  • Qual é a falha CVE-2026-45659 no Microsoft SharePoint.
  • Quais versões do SharePoint Server receberam correção.
  • Por que permissões baixas ainda representam risco.
  • Como priorizar a verificação em servidores expostos à internet.
  • Quais ações tomar agora para reduzir a exposição.

O que aconteceu

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, avisou em 2 de julho de 2026 que atacantes começaram a explorar uma vulnerabilidade de alta severidade no Microsoft SharePoint. A falha é rastreada como CVE-2026-45659 e atinge servidores SharePoint que ainda não receberam a correção liberada pela Microsoft.

A Microsoft publicou as atualizações em 21 de maio para o SharePoint Enterprise Server 2016, o SharePoint Server 2019 e o SharePoint Server Subscription Edition. A empresa também reconheceu que essa CVE havia ficado de fora, por engano, das atualizações de segurança de maio.

Como a falha funciona

A CVE-2026-45659 tem origem no tratamento inseguro de dados não confiáveis. Na prática, o servidor pode processar uma informação enviada por um terceiro de forma perigosa e acabar executando comandos que jamais deveria.

O ponto mais preocupante é que a exploração não exige conta de administrador. De acordo com a descrição técnica citada pela Microsoft, um atacante autenticado com permissão mínima de Site Member já consegue acionar a falha. O ataque também parte da rede, inclusive da internet, e não depende de clique, download ou aprovação de outro usuário.

Como identificar risco

O primeiro sinal de risco não é um alerta visual: é a simples existência de um SharePoint Server sem o patch de 21 de maio. Como a notícia não traz indicadores específicos de ataque, a triagem deve começar pelo inventário.

  • Verifique se a empresa usa SharePoint Enterprise Server 2016, SharePoint Server 2019 ou SharePoint Server Subscription Edition.
  • Confirme se as atualizações de 21 de maio foram aplicadas em todos os servidores.
  • Mapeie os servidores SharePoint acessíveis pela internet ou por redes pouco restritas.
  • Revise contas com permissão de Site Member, já que privilégios baixos podem bastar para a exploração.

O que fazer agora

A prioridade é eliminar a condição que viabiliza o ataque: servidores sem correção. Como a CISA confirma que a falha já está em uso por atacantes, a atualização precisa ser tratada como urgência, e não como manutenção de rotina.

  • Aplique os patches da Microsoft para as versões afetadas do SharePoint Server.
  • Após atualizar, valide se todos os nós do ambiente foram efetivamente corrigidos.
  • Reduza a exposição externa dos servidores SharePoint sempre que possível.
  • Revise as permissões dos usuários autenticados, com atenção aos membros de sites.
  • Registre evidências da correção para auditoria e governança interna.

Checklist pratico

  1. Levante todos os servidores Microsoft SharePoint em uso na organização.
  2. Confirme se cada servidor recebeu a atualização publicada em 21 de maio.
  3. Priorize os servidores acessíveis pela internet e os ambientes com muitos usuários Site Member.
  4. Revise permissões e remova acessos desnecessários.
  5. Monitore o ambiente após a correção e documente a ação realizada.

Perguntas frequentes

O que é a CVE-2026-45659?

É uma vulnerabilidade de execução remota de código no Microsoft SharePoint causada pelo processamento inseguro de dados não confiáveis.

Quem é afetado?

Ambientes que usam SharePoint Enterprise Server 2016, SharePoint Server 2019 ou SharePoint Server Subscription Edition sem a atualização de 21 de maio.

Precisa ser administrador para explorar?

Não. As informações citadas indicam que um atacante autenticado com permissão baixa, como Site Member, pode acionar a falha.

Proteja sua empresa com a LC SEC

Se a sua empresa usa Microsoft SharePoint, a LC SEC pode apoiar na validação de exposição, na revisão de permissões e na priorização de correções críticas.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://www.bleepingcomputer.com/news/security/cisa-microsoft-sharepoint-rce-flaw-now-actively-exploited/

Compartilhe nas redes sociais:

Conteúdos relacionados

Alertas de cibersegurança direto no Telegram

Vazamentos, vulnerabilidades críticas e tendências — curadoria diária pela nossa equipe de threat intel. Entre no canal oficial e fique à frente das ameaças.

Entrar no canal