Bei CVE-2026-2699 handelt es sich laut WatchTowr um einen Fehler der Kategorie „Execution After Redirect" (EAR). Aufgefallen war er beim Versuch, einen administrativen Endpunkt über den Browser aufzurufen.

Zwar leitete der Browser auf eine Login-Seite um, die nur vom lokalen Host aus erreichbar ist, und gab daraufhin einen Fehler aus. Doch der zugehörige HTTP-Header enthielt mehr Informationen als üblich. Indem die Sicherheitsforscher die HTTP-Antwort veränderten und den Location-Header entfernten, erhielten sie Zugriff auf eine Administrationsseite für die Konfiguration der Storage Zones.

Dadurch ließ sich eine Zone so einrichten, dass sie sich mit einem lokalen Netzwerk verbindet, und es konnten verschiedene Zone-Parameter verändert werden – darunter die aktuelle ShareFile-Passphrase. Ein betroffener Storage Zone Controller konnte ohne Authentifizierung gezwungen werden, einer bösartigen Zone beizutreten.

„Wir konnten das Storage Repository des Opfers so umstellen, dass es auf einen von uns kontrollierten AWS-S3-Bucket zeigte. Werden Dateien zur Instanz synchronisiert oder hochgeladen, landen sie damit in einem Speicher, den wir kontrollieren – was sensible Dateien effektiv abfließen lässt", erklärt WatchTowr.

Über die Verbindung eines fremden Controllers mit der eigenen Zone erlangt ein Angreifer administrativen Zugriff auf die Speicherlösung und kann eingebaute Funktionen missbrauchen, um Dateien an beliebige Orte hochzuladen. „Produkte dieser Art erlauben es üblicherweise, den Speicherort für Dateien festzulegen. Wir konnten ShareFile einfach so umkonfigurieren, dass hochgeladene Dateien an einem potenziell gefährlichen Ort abgelegt werden, etwa im Webroot-Verzeichnis der Anwendung", so die Firma.

Bei der Analyse der Upload-Funktion stieß WatchTowr auf CVE-2026-2701, eine Schwachstelle für das Hochladen beliebiger Dateien. Sie ließ sich ausnutzen, um eine Web-Shell abzulegen und so RCE zu erreichen. Anschließend verkettete die Firma beide Schwachstellen zu einer unauthentifizierten Remote Code Execution auf einer verwundbaren ShareFile-Instanz.