**Progress ShareFile**, un producto de colaboración y compartición de documentos popular entre empresas grandes y medianas, está bajo escrutinio tras el descubrimiento de dos vulnerabilidades críticas. Estas fallas podrían permitir a los atacantes eludir la autenticación y ejecutar código de forma remota, lo que podría llevar a la exfiltración de datos sensibles. Estas soluciones de compartición de archivos se han convertido en objetivos principales para grupos de ransomware, como se ha visto en ataques previos que explotaron vulnerabilidades en soluciones como **Accellion FTA**, **SolarWinds Serv-U**, **Gladinet CentreStack**, **GoAnywhere MFT**, **MOVEit Transfer** y **Cleo**. ### Detalles de las vulnerabilidades Investigadores de **watchTowr** identificaron una omisión de autenticación (**CVE-2026-2699**) y una vulnerabilidad de ejecución remota de código (**CVE-2026-2701**) dentro del componente Storage Zones Controller (SZC) de Progress ShareFile, específicamente en la rama 5.x. El componente SZC permite a los clientes mantener un mayor control sobre sus datos al almacenarlos en su propia infraestructura o en un proveedor de nube de terceros, en lugar de hacerlo únicamente en los sistemas de Progress. Tras la divulgación responsable por parte de **watchTowr**, **Progress** abordó estas vulnerabilidades en la versión 5.12.4 de ShareFile, lanzada el 10 de marzo. ### Cadena de ataque explicada Según el informe detallado de **watchTowr**, el ataque comienza explotando **CVE-2026-2699**, la omisión de autenticación. Esta falla otorga acceso no autorizado a la interfaz de administración de ShareFile debido a un manejo inadecuado de las redirecciones HTTP. Una vez dentro del panel de administración, un atacante puede manipular la configuración de las Storage Zones, incluyendo rutas críticas de almacenamiento de archivos y parámetros sensibles de seguridad como la contraseña de la zona y secretos relacionados. La segunda vulnerabilidad, **CVE-2026-2701**, permite la ejecución remota de código. Los atacantes pueden aprovechar las funcionalidades de carga y extracción de archivos para desplegar webshells ASPX maliciosas dentro del webroot de la aplicación. Los investigadores enfatizaron que la explotación exitosa requiere la generación de firmas HMAC válidas y el descifrado de secretos internos. Estas acciones se vuelven factibles después de explotar **CVE-2026-2699**, lo que permite a los atacantes establecer o controlar valores relacionados con la contraseña.  ### Impacto y exposición Los escaneos de **watchTowr** indican que aproximadamente 30,000 instancias de Storage Zone Controller están expuestas a Internet. La **ShadowServer Foundation** monitorea actualmente alrededor de 700 instancias de **Progress ShareFile** expuestas a Internet, ubicadas principalmente en Estados Unidos y Europa. **watchTowr** informó las vulnerabilidades a **Progress** entre el 6 y el 13 de febrero, y la cadena de exploit completa se confirmó el 18 de febrero para Progress ShareFile 5.12.4. **Progress** lanzó actualizaciones de seguridad en la versión 5.12.4 el 10 de marzo. Si bien no hay informes de explotación activa en la naturaleza en el momento de escribir esto, se insta encarecidamente a las organizaciones que utilizan versiones vulnerables de ShareFile Storage Zone Controller a aplicar el parche de inmediato. La divulgación pública de esta cadena de exploit probablemente atraerá a actores maliciosos.