A CISA adicionou a falha CVE-2026-45659, uma vulnerabilidade de execução remota de código no Microsoft SharePoint Server, ao seu catálogo de vulnerabilidades conhecidas como exploradas (KEV) em 1º de julho de 2026. A falha, causada por desserialização insegura de dados não confiáveis, já está sendo ativamente explorada na natureza por atacantes que precisam apenas de uma conta com permissões de Site Member para executar código arbitrário no servidor. Agências federais têm prazo até 4 de julho para aplicar a correção.

O que é a CVE-2026-45659

A CVE-2026-45659 é uma vulnerabilidade de desserialização de dados não confiáveis no Microsoft SharePoint Enterprise Server 2016, com pontuação CVSSv3 de 8,8 (High). A Microsoft já havia corrigido a falha no Patch Tuesday de maio de 2026, mas a inclusão no KEV catalog confirma que atacantes a exploram ativamente.

O SharePoint guarda dados corporativos sensíveis e costuma ficar exposto à internet, o que torna essas falhas particularmente cobiçadas. Em ataques anteriores, o SharePoint já atraiu tanto grupos de estado-nação quanto operadores de ransomware — o mesmo perfil de risco observado em incidentes recentes envolvendo produtos Microsoft. Qualquer administrador de ambiente on-premises deve tratar a correção como urgente.

Como o ataque funciona

A raiz da falha está na desserialização insegura. Um endpoint do SharePoint aceita entrada serializada manipulada e a reconstrói em objetos sem validar os tipos envolvidos. O atacante consegue, então, executar código arbitrário no contexto do servidor e, a partir daí, roubar documentos ou pivotar por todo o domínio.

A Microsoft avalia a complexidade do ataque como baixa, e nenhuma interação do usuário é necessária. O atacante precisa se autenticar primeiro, mas a barra é baixa: qualquer conta com permissões de Site Member é suficiente. Esse perfil de permissão é atribuído rotineiramente a colaboradores comuns, o que amplia significativamente o universo de credenciais aproveitáveis — risco semelhante ao vazamento de tokens por falhas no ecossistema Microsoft 365.

Versões afetadas e correção

A falha atinge as edições on-premises do SharePoint Server. A mesma atualização cobre tanto a Enterprise Server 2016 quanto edições mais recentes. O SharePoint hospedado no Microsoft 365 não consta na lista de produtos afetados.

Versão afetada Build corrigido
SharePoint Enterprise Server 2016 16.0.5552.1002
SharePoint Server Subscription Edition 16.0.10417.20128
SharePoint Server 2019 16.0.19725.20280

Segundo o EPSS, a probabilidade de exploração em 30 dias era de 2,8% antes da entrada no KEV. Após a entrada no catálogo, esse número tende a subir rapidamente, conforme histórico de outras CVEs marcadas pela CISA.

Prazo federal e KEV

Com a inclusão no KEV, agências federais americanas têm prazo até 4 de julho de 2026 para aplicar a correção, conforme a diretriz BOD 22-01 da CISA. Empresas privadas não estão sujeitas ao prazo, mas a janela é igualmente crítica: a presença no KEV costuma disparar ondas de exploração automatizada poucos dias depois do anúncio.

Como proteger o SharePoint

Até a aplicação do patch, medidas de contenção reduzem a superfície de ataque:

  • Instale as atualizações de maio de 2026 em todo servidor SharePoint on-premises e valide o build em Propriedades da farm.
  • Restrinja o acesso ao SharePoint a usuários confiáveis e reduza a exposição à internet onde for possível.
  • Audite permissões de Site Member: o atacante só precisa desse nível de acesso para disparar o exploit. Revise grupos grandes e remova contas ociosas.
  • Monitore o processo worker do SharePoint (OWSTIMER.EXE e w3wp.exe) em busca de processos filhos inesperados, chamadas de rede anômalas e descarga de cmd.exe ou powershell.exe.
  • Bloqueie a exposição pública de endpoints de administração e do Central Administration site.

Fontes