**Progress ShareFile**, un produit de partage et de collaboration de documents populaire auprès des grandes et moyennes entreprises, fait l'objet d'un examen minutieux suite à la découverte de deux vulnérabilités critiques. Ces failles pourraient permettre à des attaquants de contourner l'authentification et d'exécuter du code à distance, conduisant potentiellement à l'exfiltration de données sensibles. Ces solutions de partage de fichiers sont devenues des cibles de choix pour les groupes de ransomware, comme l'ont montré des attaques précédentes exploitant des vulnérabilités dans des solutions telles que **Accellion FTA**, **SolarWinds Serv-U**, **Gladinet CentreStack**, **GoAnywhere MFT**, **MOVEit Transfer**, et **Cleo**. ### Détails des vulnérabilités Les chercheurs de **watchTowr** ont identifié un contournement d'authentification (**CVE-2026-2699**) et une vulnérabilité d'exécution de code à distance (**CVE-2026-2701**) au sein du composant Storage Zones Controller (SZC) de Progress ShareFile, spécifiquement dans la branche 5.x. Le composant SZC permet aux clients de conserver un plus grand contrôle sur leurs données en les stockant sur leur propre infrastructure ou sur un fournisseur de cloud tiers, plutôt que uniquement sur les systèmes Progress. Suite à la divulgation responsable par **watchTowr**, **Progress** a corrigé ces vulnérabilités dans la version 5.12.4 de ShareFile, publiée le 10 mars. ### Chaîne d'attaque expliquée Selon le rapport détaillé de **watchTowr**, l'attaque commence par l'exploitation de la **CVE-2026-2699**, le contournement d'authentification. Cette faille accorde un accès non autorisé à l'interface d'administration de ShareFile en raison d'une mauvaise gestion des redirections HTTP. Une fois à l'intérieur du panneau d'administration, un attaquant peut manipuler les paramètres de configuration des Storage Zones, y compris les chemins de stockage de fichiers critiques et les paramètres sensibles à la sécurité tels que la passphrase de la zone et les secrets associés. La deuxième vulnérabilité, la **CVE-2026-2701**, permet l'exécution de code à distance. Les attaquants peuvent exploiter les fonctionnalités de téléchargement et d'extraction de fichiers pour déployer des webshells ASPX malveillants dans le webroot de l'application. Les chercheurs ont souligné que l'exploitation réussie nécessite la génération de signatures HMAC valides et le déchiffrement de secrets internes. Ces actions deviennent réalisables après l'exploitation de la **CVE-2026-2699**, qui permet aux attaquants de définir ou de contrôler les valeurs liées à la passphrase.  ### Impact et exposition Les scans de **watchTowr** indiquent qu'environ 30 000 instances de Storage Zone Controller sont exposées à Internet. La **ShadowServer Foundation** surveille actuellement environ 700 instances de **Progress ShareFile** exposées sur Internet, principalement situées aux États-Unis et en Europe. **watchTowr** a signalé les vulnérabilités à **Progress** entre le 6 et le 13 février, la chaîne d'exploit complète étant confirmée le 18 février pour Progress ShareFile 5.12.4. **Progress** a publié des mises à jour de sécurité dans la version 5.12.4 le 10 mars. Bien qu'il n'y ait aucun rapport d'exploitation active dans la nature au moment de la rédaction, les organisations utilisant des versions vulnérables de ShareFile Storage Zone Controller sont fortement invitées à appliquer le correctif immédiatement. La divulgation publique de cette chaîne d'exploit attirera probablement des acteurs malveillants.