Falha de RCE do SharePoint CVE-2026-45659 Agora no Catálogo KEV da CISA em Meio a Ataques Ativos
A CISA adicionou CVE-2026-45659, uma vulnerabilidade crítica de execução remota de código no SharePoint Server, ao seu catálogo de Vulnerabilidades Conhecidas Exploradas após confirmar exploração ativa em circulação. Organizações que executam instâncias afetadas do SharePoint enfrentam risco imediato e devem priorizar a aplicação de patches.
TL;DR
- CVE-2026-45659 é uma falha de execução remota de código de alta severidade (CVSS 8,8) no Microsoft SharePoint Server causada por desserialização insegura de dados não confiáveis
- A CISA adicionou a vulnerabilidade ao seu catálogo KEV, confirmando que campanhas de exploração ativa estão em andamento
- Empresas devem aplicar patches da Microsoft urgentemente para evitar execução de código não autorizado e possível movimento lateral
- A vulnerabilidade afeta implantações do SharePoint no local; instâncias hospedadas em nuvem podem ter perfis de exposição diferentes
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou formalmente CVE-2026-45659 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), sinalizando que atores de ameaça estão explorando ativamente essa falha em circulação. A vulnerabilidade, que possui uma pontuação CVSS de 8,8, afeta o Microsoft SharePoint Server e permite execução remota de código não autenticada através do tratamento inadequado de objetos serializados.
A causa raiz decorre da desserialização insegura de dados não confiáveis dentro da lógica de processamento do SharePoint. Atacantes podem criar payloads maliciosos que, quando processados por um servidor vulnerável, executam código arbitrário com os privilégios da identidade do pool de aplicativos do SharePoint. Esse nível de acesso permite que atacantes comprometam dados sensíveis, instalem backdoors e se movimentem lateralmente para outros sistemas na rede.
Com a listagem KEV da CISA, essa vulnerabilidade passou de risco teórico para ameaça ativa confirmada. Organizações que executam implantações do SharePoint no local devem tratar a aplicação de patches como prioridade de emergência para evitar violação e movimento lateral dentro de sua infraestrutura.
Detalhes da Vulnerabilidade e Vetor de Ataque
- CVE-2026-45659 é uma falha de desserialização que permite execução remota de código sem autenticação
- Pontuação CVSS de 8,8 reflete alta severidade e facilidade de exploração
- Afeta instalações do Microsoft SharePoint Server no local
- Atacantes podem executar código arbitrário no contexto do pool de aplicativos do SharePoint
- Nenhuma interação do usuário ou privilégios especiais são necessários para disparar a vulnerabilidade
Listagem KEV da CISA e Exploração Ativa
- A CISA adicionou CVE-2026-45659 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas após confirmar ataques ativos
- Atores de ameaça estão ativamente armando a falha em campanhas direcionadas
- Organizações devem assumir que suas instâncias do SharePoint estão sendo verificadas e testadas por atores maliciosos
- A listagem KEV eleva a prioridade da vulnerabilidade para agências federais e operadores de infraestrutura crítica
Ações de Mitigação Recomendadas
- Aplique patches de segurança da Microsoft imediatamente a todas as instâncias afetadas do SharePoint Server
- Audite logs de acesso do SharePoint em busca de sinais de tentativas de exploração ou atividade de desserialização suspeita
- Implemente segmentação de rede para limitar a exposição do SharePoint e restringir o movimento lateral
- Monitore execução de processos incomuns ou conexões de saída dos pools de aplicativos do SharePoint
- Considere desabilitar ou restringir o acesso ao SharePoint se a aplicação de patches não puder ser concluída urgentemente
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.