You’re Not Supposed To ShareFile With Everyone (Progress ShareFile Pre-Auth RCE Chain CVE-2026-2699 & CVE-2026-2701)

1 minute de lecture

Mis à jour : April 02, 2026

RCE pré-authentifiée par chaînage de vulnérabilités dans Progress ShareFile

Une recherche a mis en évidence une chaîne d’attaques permettant d’exécuter du code arbitraire (RCE) à distance sur les contrôleurs de zone de stockage (Storage Zone Controller) de Progress ShareFile, sans authentification préalable. Ces failles affectent la branche 5.x du logiciel.

Points clés

Cible : Les instances “Storage Zone Controller” de ShareFile (environ 30 000 instances exposées).
Vecteur : Exploitation du comportement d’IIS et des API de configuration pour contourner l’authentification, suivie d’une modification des paramètres du contrôleur de zone pour injecter un webshell via une fonction de décompression non sécurisée.
Impact : Compromission totale du serveur hébergeant les données de fichiers, permettant l’exfiltration ou la prise de contrôle du système.

Vulnérabilités identifiées

CVE-2026-2699 (Contournement d’authentification) : Causée par une erreur de programmation de type Execution After Redirect (CWE-698). L’application redirige vers une page de login mais ne termine pas l’exécution du script, rendant la page d’administration accessible aux attaquants après la suppression de l’en-tête de redirection.
CVE-2026-2701 (Exécution de code à distance) : Résulte de la possibilité de modifier le chemin de stockage des fichiers (vers le répertoire webroot) et d’utiliser une fonction de décompression (activable via le paramètre unzip=true) pour déposer des fichiers .aspx exécutables sur le serveur.

Recommandations

Mise à jour immédiate : Appliquer le correctif fourni dans la version 5.12.4, publiée le 10 mars 2026.
Détection : Auditer les logs pour détecter des accès inhabituels vers /ConfigService/Admin.aspx ou des tentatives d’utilisation des endpoints d’upload (upload.aspx) avec le paramètre unzip=true.
Réduction de la surface d’attaque : Restreindre l’accès aux interfaces d’administration (/ConfigService/) en ne les exposant pas directement sur Internet, ou en filtrant les adresses IP autorisées au niveau du pare-feu.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

You’re Not Supposed To ShareFile With Everyone (Progress ShareFile Pre-Auth RCE Chain CVE-2026-2699 & CVE-2026-2701)

RCE pré-authentifiée par chaînage de vulnérabilités dans Progress ShareFile

Points clés

Vulnérabilités identifiées

Recommandations

Partager sur

Vous pourriez aimer

WhatsApp Alerts 200 Users After Fake iOS App Installed Spyware; Italian Firm Faces Action

Espionnage via des clones malveillants de WhatsApp

US Bans All Foreign-Made Consumer Routers

Restrictions américaines sur l’importation de routeurs étrangers

ThreatsDay Bulletin: Pre-Auth Chains, Android Rootkits, CloudTrail Evasion & 10 More Stories

Actualités de la menace : Chaînes RCE, Rootkits Android et évasion Cloud

The State of Trusted Open Source Report

L’impact de l’IA sur la sécurité des logiciels open source