Der Unternehmenssoftware-Anbieter Progress Software hat am Freitag Kunden von ShareFile angewiesen, ihre Storage Zone Controller vorsorglich abzuschalten. Parallel dazu sperrte das Unternehmen den Zugriff auf ShareFile-Konten, die diese Controller verwenden. Als Grund nennt Progress eine „glaubhafte externe Sicherheitsbedrohung“.

Storage Zone Controller ermöglichen ShareFile-Kunden die Nutzung eines privaten Datenspeichers, der entweder lokal im eigenen Betrieb oder auf einem Speichersystem eines Drittanbieters läuft. Die Umgebung wird selbst verwaltet und durch ein anwendungsspezifisches Passwort geschützt.

In einer Mitteilung im Unternehmensforum erklärte Progress, man sei sich einer glaubhaften externen Sicherheitsbedrohung bewusst, die auf Progress ShareFile Storage Zone Controller abziele. Als zusätzliche Schutzmaßnahme sollten Kunden den Server, auf dem ihre Storage Zone Controller laufen, „so schnell wie möglich“ manuell herunterfahren, während Progress die Lage gemeinsam mit Cybersicherheitsexperten weiter bewerte.

In einer privaten Nachricht an Kunden teilte Progress außerdem mit, dass die Zugriffsbeschränkungen nur vorübergehend seien. Einen Zeitplan dafür, wann das Problem behoben sein könnte, nannte das Unternehmen allerdings nicht.

Zugleich erklärte Progress: „Zum jetzigen Zeitpunkt haben wir keine Hinweise auf unbefugten Zugriff auf Progress-ShareFile-Konten oder Kundendaten.“ Auch nähere technische Details zur Sicherheitsbedrohung veröffentlichte der Hersteller bislang nicht.

Laut SecurityWeek vermuten Nutzer, dass Bedrohungsakteure zwei Schwachstellen angreifen könnten, die Progress im März behoben hatte. Dabei handelt es sich um CVE-2026-2699 mit einem CVSS-Wert von 9,8 und CVE-2026-2701 mit einem CVSS-Wert von 9,1.

Diese beiden Lücken könnten in einer Kette ausgenutzt werden, um Konfigurationsänderungen vorzunehmen und schädliche Dateien hochzuladen. Das würde schließlich eine Remotecodeausführung ohne Authentifizierung ermöglichen.

SecurityWeek hat Progress nach eigenen Angaben um eine Stellungnahme gebeten und angekündigt, den Bericht zu aktualisieren, falls das Unternehmen antwortet.