Falha permite execução de código por usuários autenticados com poucos privilégios.
A CISA alertou que a CVE-2026-45659 no Microsoft SharePoint já está sendo explorada por atacantes. A correção saiu em 21 de maio, mas servidores sem atualização seguem expostos. O risco é alto porque um usuário autenticado com permissão baixa consegue executar código remotamente, sem interação de outra pessoa.
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, avisou em 2 de julho de 2026 que atacantes começaram a explorar uma vulnerabilidade de alta severidade no Microsoft SharePoint. A falha é rastreada como CVE-2026-45659 e atinge servidores SharePoint que ainda não receberam a correção liberada pela Microsoft.
A Microsoft publicou as atualizações em 21 de maio para o SharePoint Enterprise Server 2016, o SharePoint Server 2019 e o SharePoint Server Subscription Edition. A empresa também reconheceu que essa CVE havia ficado de fora, por engano, das atualizações de segurança de maio.
A CVE-2026-45659 tem origem no tratamento inseguro de dados não confiáveis. Na prática, o servidor pode processar uma informação enviada por um terceiro de forma perigosa e acabar executando comandos que jamais deveria.
O ponto mais preocupante é que a exploração não exige conta de administrador. De acordo com a descrição técnica citada pela Microsoft, um atacante autenticado com permissão mínima de Site Member já consegue acionar a falha. O ataque também parte da rede, inclusive da internet, e não depende de clique, download ou aprovação de outro usuário.
O primeiro sinal de risco não é um alerta visual: é a simples existência de um SharePoint Server sem o patch de 21 de maio. Como a notícia não traz indicadores específicos de ataque, a triagem deve começar pelo inventário.
A prioridade é eliminar a condição que viabiliza o ataque: servidores sem correção. Como a CISA confirma que a falha já está em uso por atacantes, a atualização precisa ser tratada como urgência, e não como manutenção de rotina.
É uma vulnerabilidade de execução remota de código no Microsoft SharePoint causada pelo processamento inseguro de dados não confiáveis.
Ambientes que usam SharePoint Enterprise Server 2016, SharePoint Server 2019 ou SharePoint Server Subscription Edition sem a atualização de 21 de maio.
Não. As informações citadas indicam que um atacante autenticado com permissão baixa, como Site Member, pode acionar a falha.
Se a sua empresa usa Microsoft SharePoint, a LC SEC pode apoiar na validação de exposição, na revisão de permissões e na priorização de correções críticas.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io