Microsoft SharePoint com RCE explorada: saiba o impacto
Falha permite execução remota de código por usuário autenticado com permissão básica no site.

Resumo rapido
A CISA adicionou a CVE-2026-45659, do Microsoft SharePoint Server, ao catálogo KEV após identificar exploração ativa. A falha tem pontuação CVSS 8.8 e permite execução remota de código. A correção foi publicada pela Microsoft em maio de 2026 para as versões locais do SharePoint.
Neste artigo voce vai aprender:
- O que é a CVE-2026-45659 no Microsoft SharePoint Server.
- Por que a entrada no catálogo KEV aumenta a urgência.
- Quais versões tiveram correção indicada pela Microsoft.
- Quais permissões mínimas podem ser suficientes para abuso.
- Quais ações práticas priorizar agora.
O que aconteceu
A agência norte-americana CISA incluiu a vulnerabilidade CVE-2026-45659 no catálogo de falhas conhecidas e exploradas, o KEV. A entrada nessa lista não é burocracia: significa que há evidência de uso real da falha em ataques, e não apenas um risco no papel.
O problema afeta o Microsoft SharePoint Server e recebeu nota CVSS 8.8, classificada como alta. A Microsoft já havia tratado a falha em maio de 2026 para o SharePoint Server Subscription Edition, o SharePoint Server 2019 e o SharePoint Enterprise Server 2016.
Como a falha pode ser explorada
A CVE-2026-45659 é um caso de execução remota de código. Em termos simples, ela pode permitir que alguém faça o servidor SharePoint rodar comandos ou executar ações que jamais deveria aceitar.
A causa raiz é a desserialização de dados não confiáveis. Na prática, é quando o sistema recebe uma entrada, tenta transformá-la em algo que consiga processar e acaba engolindo um conteúdo malicioso. Segundo a Microsoft, o invasor precisa estar autenticado, mas não precisa ser administrador: permissões mínimas de membro de site já podem bastar.
Sinais de alerta no SharePoint
A fonte não detalha como exatamente a CVE-2026-45659 vem sendo explorada, quem está por trás dos ataques ou qual é o objetivo final. Mesmo com essas lacunas, as equipes responsáveis pelo SharePoint local devem tratar o caso como prioridade máxima.
- Verifique tentativas incomuns de acesso a arquivos internos ou de configuração.
- Revise atividades de usuários com permissão de membro de site, especialmente em horários fora do padrão.
- Procure alterações recentes e inesperadas em bibliotecas, páginas, permissões ou componentes do SharePoint.
- Observe qualquer comportamento anormal no servidor logo após autenticações aparentemente legítimas.
O que fazer agora
A medida central é aplicar as correções de maio de 2026 da Microsoft nas versões afetadas. Para os órgãos federais civis dos Estados Unidos, a CISA definiu prazo até 4 de julho de 2026, um sinal claro da urgência do caso.
- Confirme se o ambiente usa SharePoint Server Subscription Edition, 2019 ou Enterprise Server 2016.
- Aplique os patches correspondentes e registre a mudança.
- Revise quem tem permissão de membro nos sites.
- Remova acessos antigos, genéricos ou sem justificativa clara.
- Monitore logs de autenticação e ações administrativas após a atualização.
Checklist pratico
- Inventarie todos os servidores Microsoft SharePoint locais e identifique versão e nível de atualização.
- Priorize a instalação das correções de maio de 2026 para os produtos afetados.
- Revise permissões de membros de site e mantenha apenas os acessos realmente necessários.
- Analise logs recentes em busca de acessos incomuns, mudanças inesperadas e tentativas de leitura de arquivos internos.
- Documente as ações realizadas para apoiar auditoria, resposta a incidentes e governança de acesso.
Perguntas frequentes
Quem precisa se preocupar com a CVE-2026-45659?
Organizações que usam Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019 ou SharePoint Enterprise Server 2016 devem verificar se já aplicaram as correções de maio de 2026.
O invasor precisa ser administrador?
Segundo a Microsoft, não. O ataque exige um usuário autenticado, mas permissões mínimas de membro de site já podem ser suficientes para explorar a falha.
A exploração já foi confirmada?
Sim. A CISA adicionou a falha ao catálogo KEV citando evidência de exploração ativa, embora os detalhes sobre autores, método exato e objetivos não tenham sido informados.
Proteja sua empresa com a MFA2GO
Falhas como a CVE-2026-45659 mostram por que controlar acessos é tão importante quanto aplicar patches. A MFA2GO ajuda sua empresa a fortalecer autenticação, reduzir acessos indevidos e melhorar a governança de permissões em ambientes críticos.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com
Fontes:
https://thehackernews.com/2026/07/sharepoint-rce-cve-2026-45659-added-to.html
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.
