A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, alertou na quarta-feira que invasores começaram a explorar uma vulnerabilidade de execução remota de código de alta gravidade no Microsoft SharePoint.
Identificada como
CVE-2026-45659
, a falha de segurança decorre de uma fraqueza de desserialização de dados não confiáveis e permite que atacantes com privilégios baixos executem código arbitrário em servidores SharePoint sem patch, em ataques de baixa complexidade que não exigem interação do usuário.
“Qualquer atacante autenticado poderia acionar essa vulnerabilidade.
Ela não exige permissões de administrador nem outros privilégios elevados.
Em um ataque baseado em rede, um atacante autenticado com permissões mínimas de membro do site (PR:L) poderia executar código remotamente no SharePoint Server”, explica a Microsoft.
“O vetor de ataque é Rede (AV:N) porque essa vulnerabilidade pode ser explorada remotamente e a partir da internet.
A complexidade do ataque é Baixa (AC:L) porque o atacante não precisa de conhecimento prévio significativo sobre o sistema e pode obter sucesso repetidamente com o payload contra o componente vulnerável.”
A Microsoft publicou em 21 de maio atualizações de segurança para o SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition para corrigir a falha, informando que a CVE havia sido omitida por engano do pacote de atualizações de segurança de maio de 2026.
O grupo de monitoramento de segurança na internet Shadowserver acompanha atualmente mais de 10.000 servidores SharePoint expostos online.
No entanto, não há informações sobre quantos desses dispositivos já foram protegidos contra os ataques em andamento contra a
CVE-2026-45659
.
Na edição de abril de 2026 do Patch Tuesday, a Microsoft corrigiu outra vulnerabilidade do SharePoint que havia sido explorada em ataques zero-day.
Na quarta-feira, a CISA adicionou a falha ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas, o KEV, e determinou que as agências civis do Poder Executivo Federal dos EUA, ou FCEB, protejam seus servidores até sábado, conforme exigido pela Diretiva Operacional Vinculante 26-04, ou BOD 26-04.
A BOD 26-04 foi publicada no mês passado e exige que as agências federais dos EUA priorizem a aplicação de patches com base em critérios como a inclusão da falha no catálogo KEV da CISA, a possibilidade de automação da exploração para ataques em larga escala, a exposição pública do ativo na internet e o grau de controle que a exploração bem-sucedida pode conceder ao atacante sobre o dispositivo alvo.
“Esse tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para o ambiente federal”, alertou a agência de cibersegurança na terça-feira.
“Siga as orientações aplicáveis da BOD 26-04 para serviços em cloud ou descontinue o uso do produto se não houver mitigações disponíveis.
As partes interessadas são responsáveis por avaliar a exposição de cada ativo à internet e garantir o cumprimento das diretrizes de patch da BOD 26-04.”
Desde 2021, a CISA já classificou 11 vulnerabilidades do Microsoft SharePoint que foram abusadas no mundo real, sendo que sete delas também foram exploradas em ataques de ransomware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...