Microsoft SharePoint CVE-2026-45659: corrija já
Falha permite execução de código por usuários autenticados com poucos privilégios.

Resumo rapido
A CISA alertou que a CVE-2026-45659 no Microsoft SharePoint já está sendo explorada por atacantes. A correção saiu em 21 de maio, mas servidores sem atualização seguem expostos. O risco é alto porque um usuário autenticado com permissão baixa consegue executar código remotamente, sem interação de outra pessoa.
Neste artigo voce vai aprender:
- Qual é a falha CVE-2026-45659 no Microsoft SharePoint.
- Quais versões do SharePoint Server receberam correção.
- Por que permissões baixas ainda representam risco.
- Como priorizar a verificação em servidores expostos à internet.
- Quais ações tomar agora para reduzir a exposição.
O que aconteceu
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, avisou em 2 de julho de 2026 que atacantes começaram a explorar uma vulnerabilidade de alta severidade no Microsoft SharePoint. A falha é rastreada como CVE-2026-45659 e atinge servidores SharePoint que ainda não receberam a correção liberada pela Microsoft.
A Microsoft publicou as atualizações em 21 de maio para o SharePoint Enterprise Server 2016, o SharePoint Server 2019 e o SharePoint Server Subscription Edition. A empresa também reconheceu que essa CVE havia ficado de fora, por engano, das atualizações de segurança de maio.
Como a falha funciona
A CVE-2026-45659 tem origem no tratamento inseguro de dados não confiáveis. Na prática, o servidor pode processar uma informação enviada por um terceiro de forma perigosa e acabar executando comandos que jamais deveria.
O ponto mais preocupante é que a exploração não exige conta de administrador. De acordo com a descrição técnica citada pela Microsoft, um atacante autenticado com permissão mínima de Site Member já consegue acionar a falha. O ataque também parte da rede, inclusive da internet, e não depende de clique, download ou aprovação de outro usuário.
Como identificar risco
O primeiro sinal de risco não é um alerta visual: é a simples existência de um SharePoint Server sem o patch de 21 de maio. Como a notícia não traz indicadores específicos de ataque, a triagem deve começar pelo inventário.
- Verifique se a empresa usa SharePoint Enterprise Server 2016, SharePoint Server 2019 ou SharePoint Server Subscription Edition.
- Confirme se as atualizações de 21 de maio foram aplicadas em todos os servidores.
- Mapeie os servidores SharePoint acessíveis pela internet ou por redes pouco restritas.
- Revise contas com permissão de Site Member, já que privilégios baixos podem bastar para a exploração.
O que fazer agora
A prioridade é eliminar a condição que viabiliza o ataque: servidores sem correção. Como a CISA confirma que a falha já está em uso por atacantes, a atualização precisa ser tratada como urgência, e não como manutenção de rotina.
- Aplique os patches da Microsoft para as versões afetadas do SharePoint Server.
- Após atualizar, valide se todos os nós do ambiente foram efetivamente corrigidos.
- Reduza a exposição externa dos servidores SharePoint sempre que possível.
- Revise as permissões dos usuários autenticados, com atenção aos membros de sites.
- Registre evidências da correção para auditoria e governança interna.
Checklist pratico
- Levante todos os servidores Microsoft SharePoint em uso na organização.
- Confirme se cada servidor recebeu a atualização publicada em 21 de maio.
- Priorize os servidores acessíveis pela internet e os ambientes com muitos usuários Site Member.
- Revise permissões e remova acessos desnecessários.
- Monitore o ambiente após a correção e documente a ação realizada.
Perguntas frequentes
O que é a CVE-2026-45659?
É uma vulnerabilidade de execução remota de código no Microsoft SharePoint causada pelo processamento inseguro de dados não confiáveis.
Quem é afetado?
Ambientes que usam SharePoint Enterprise Server 2016, SharePoint Server 2019 ou SharePoint Server Subscription Edition sem a atualização de 21 de maio.
Precisa ser administrador para explorar?
Não. As informações citadas indicam que um atacante autenticado com permissão baixa, como Site Member, pode acionar a falha.
Proteja sua empresa com a LC SEC
Se a sua empresa usa Microsoft SharePoint, a LC SEC pode apoiar na validação de exposição, na revisão de permissões e na priorização de correções críticas.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.

