Den von watchTowr in einem aktuellen Bericht beschriebenen Angriff leitet die Authentifizierungsumgehung CVE-2026-2699 ein. Sie verschafft Zugang zur Administrationsoberfläche von ShareFile, weil HTTP-Weiterleitungen fehlerhaft behandelt werden.

Ist ein Angreifer erst einmal eingedrungen, kann er die Konfiguration der Storage Zone verändern — darunter Speicherpfade für Dateien sowie sicherheitsrelevante Parameter wie die Passphrase der Zone und zugehörige Geheimnisse.

Über die zweite Schwachstelle, CVE-2026-2701, erreichen Angreifer dann die Codeausführung auf dem Server. Dazu missbrauchen sie eine Funktion zum Hochladen und Entpacken von Dateien, um schädliche ASPX-Webshells im Webroot der Anwendung abzulegen.

Damit der Exploit funktioniert, müssen Angreifer laut den Forschern gültige HMAC-Signaturen erzeugen sowie interne Geheimnisse extrahieren und entschlüsseln. Beides ist nach der Ausnutzung von CVE-2026-2699 möglich, weil sich darüber Passphrase-bezogene Werte setzen oder kontrollieren lassen.

Nach Scans von watchTowr sind rund 30.000 Instanzen des Storage Zone Controller über das öffentliche Internet erreichbar. Die ShadowServer Foundation beobachtet derzeit 700 aus dem Internet erreichbare ShareFile-Instanzen, die meisten davon in den Vereinigten Staaten und in Europa.

watchTowr meldete die beiden Schwachstellen zwischen dem 6. und 13. Februar an Progress; die vollständige Exploit-Kette wurde am 18. Februar für ShareFile 5.12.4 bestätigt. Die Sicherheitsupdates lieferte der Hersteller mit Version 5.12.4 am 10. März aus.

Eine aktive Ausnutzung in freier Wildbahn ist bislang nicht beobachtet worden. Da die Veröffentlichung der Angriffskette jedoch Bedrohungsakteure anlocken dürfte, sollten Systeme mit verwundbaren Versionen des ShareFile Storage Zone Controller umgehend gepatcht werden.