**Progress ShareFile**, um produto de compartilhamento e colaboração de documentos popular entre grandes e médias empresas, está sob escrutínio após a descoberta de duas vulnerabilidades críticas. Essas falhas poderiam permitir que atacantes contornassem a autenticação e executassem código remotamente, potencialmente levando à exfiltração de dados sensíveis. Tais soluções de compartilhamento de arquivos se tornaram alvos principais para grupos de ransomware, como visto em ataques anteriores que exploraram vulnerabilidades em soluções como **Accellion FTA**, **SolarWinds Serv-U**, **Gladinet CentreStack**, **GoAnywhere MFT**, **MOVEit Transfer** e **Cleo**. ### Detalhes da Vulnerabilidade Pesquisadores da **watchTowr** identificaram uma falha de bypass de autenticação (**CVE-2026-2699**) e uma vulnerabilidade de execução remota de código (**CVE-2026-2701**) no componente Storage Zones Controller (SZC) do Progress ShareFile, especificamente na branch 5.x. O componente SZC permite que os clientes mantenham maior controle sobre seus dados, armazenando-os em sua própria infraestrutura ou em um provedor de nuvem terceirizado, em vez de apenas nos sistemas Progress. Após a divulgação responsável pela **watchTowr**, a **Progress** corrigiu essas vulnerabilidades na versão 5.12.4 do ShareFile, lançada em 10 de março. ### Cadeia de Ataque Explicada De acordo com o relatório detalhado da **watchTowr**, o ataque começa explorando a **CVE-2026-2699**, o bypass de autenticação. Essa falha concede acesso não autorizado à interface administrativa do ShareFile devido ao manuseio inadequado de redirecionamentos HTTP. Uma vez dentro do painel administrativo, um atacante pode manipular as configurações de Storage Zone, incluindo caminhos críticos de armazenamento de arquivos e parâmetros sensíveis de segurança, como a senha da zona e segredos relacionados. A segunda vulnerabilidade, **CVE-2026-2701**, permite a execução remota de código. Atacantes podem usar funcionalidades de upload e extração de arquivos para implantar webshells ASPX maliciosos dentro do webroot da aplicação. Os pesquisadores enfatizaram que a exploração bem-sucedida requer a geração de assinaturas HMAC válidas e a descriptografia de segredos internos. Essas ações se tornam viáveis após a exploração da **CVE-2026-2699**, que permite aos atacantes definir ou controlar valores relacionados à senha.  ### Impacto e Exposição As varreduras da **watchTowr** indicam que aproximadamente 30.000 instâncias do Storage Zone Controller estão expostas à internet pública. A **ShadowServer Foundation** atualmente monitora cerca de 700 instâncias do **Progress ShareFile** expostas à internet, localizadas principalmente nos Estados Unidos e na Europa. A **watchTowr** relatou as vulnerabilidades à **Progress** entre 6 e 13 de fevereiro, com a cadeia de exploit completa confirmada em 18 de fevereiro para o Progress ShareFile 5.12.4. A **Progress** lançou atualizações de segurança na versão 5.12.4 em 10 de março. Embora não haja relatos de exploração ativa em campo no momento da escrita, as organizações que utilizam versões vulneráveis do ShareFile Storage Zone Controller são fortemente aconselhadas a aplicar o patch imediatamente. A divulgação pública desta cadeia de exploit provavelmente atrairá atores maliciosos.