**Progress ShareFile**, ein beliebtes Dokumentenfreigabe- und Kollaborationsprodukt für große und mittelständische Unternehmen, steht nach der Entdeckung zweier kritischer Schwachstellen unter Beobachtung. Diese Lücken könnten Angreifern ermöglichen, die Authentifizierung zu umgehen und Code remote auszuführen, was potenziell zur Exfiltration sensibler Daten führen kann. Solche Lösungen zur Dateifreigabe sind zu Hauptzielen für Ransomware-Gruppen geworden, wie frühere Angriffe auf Schwachstellen in Lösungen wie **Accellion FTA**, **SolarWinds Serv-U**, **Gladinet CentreStack**, **GoAnywhere MFT**, **MOVEit Transfer** und **Cleo** gezeigt haben. ### Details zu den Schwachstellen Forscher von **watchTowr** identifizierten eine Authentifizierungs-Bypass-Schwachstelle (**CVE-2026-2699**) und eine Remote Code Execution-Schwachstelle (**CVE-2026-2701**) in der Storage Zones Controller (SZC)-Komponente von Progress ShareFile, insbesondere in der 5.x-Branch. Die SZC-Komponente ermöglicht es Kunden, mehr Kontrolle über ihre Daten zu behalten, indem sie diese auf ihrer eigenen Infrastruktur oder bei einem Drittanbieter-Cloud-Anbieter speichern, anstatt ausschließlich auf Progress-Systemen. Nach verantwortungsvoller Offenlegung durch **watchTowr** hat **Progress** diese Schwachstellen in ShareFile Version 5.12.4, veröffentlicht am 10. März, behoben. ### Angriffskette erklärt Laut dem detaillierten Bericht von **watchTowr** beginnt der Angriff mit der Ausnutzung von **CVE-2026-2699**, dem Authentifizierungs-Bypass. Diese Lücke gewährt unbefugten Zugriff auf die ShareFile-Admin-Oberfläche aufgrund unsachgemäßer Behandlung von HTTP-Weiterleitungen. Sobald ein Angreifer im Admin-Panel ist, kann er die Konfigurationseinstellungen der Storage Zone manipulieren, einschließlich kritischer Dateispeicherpfade und sicherheitsrelevanter Parameter wie der Zonen-Passphrase und zugehöriger Geheimnisse. Die zweite Schwachstelle, **CVE-2026-2701**, ermöglicht die Remote Code Execution. Angreifer können Datei-Upload- und Extraktionsfunktionen nutzen, um bösartige ASPX-Webshells im Webroot der Anwendung zu platzieren. Die Forscher betonten, dass für eine erfolgreiche Ausnutzung die Generierung gültiger HMAC-Signaturen und die Entschlüsselung interner Geheimnisse erforderlich sind. Diese Aktionen werden nach der Ausnutzung von **CVE-2026-2699** möglich, die es Angreifern erlaubt, Passphrase-bezogene Werte festzulegen oder zu kontrollieren.  ### Auswirkungen und Gefährdung Scans von **watchTowr** deuten darauf hin, dass etwa 30.000 Storage Zone Controller-Instanzen dem öffentlichen Internet ausgesetzt sind. Die **ShadowServer Foundation** überwacht derzeit rund 700 im Internet exponierte **Progress ShareFile**-Instanzen, die hauptsächlich in den Vereinigten Staaten und Europa ansässig sind. **watchTowr** meldete die Schwachstellen zwischen dem 6. und 13. Februar an **Progress**, wobei die vollständige Exploit-Kette am 18. Februar für Progress ShareFile 5.12.4 bestätigt wurde. **Progress** veröffentlichte Sicherheitsupdates in Version 5.12.4 am 10. März. Obwohl zum Zeitpunkt der Veröffentlichung keine Berichte über aktive Ausnutzung in freier Wildbahn vorliegen, werden Organisationen, die anfällige Versionen des ShareFile Storage Zone Controllers verwenden, dringend aufgefordert, den Patch sofort anzuwenden. Die öffentliche Offenlegung dieser Exploit-Kette wird wahrscheinlich böswillige Akteure anziehen.