Progress ShareFile - CVE-2026-2699
Date de publication :
Il s'agit d'une vulnérabilité dans le mécanisme de contrôle d'accès du composant Storage Zones Controller de Progress ShareFile.
ShareFile Storage Zones Controller est une passerelle on-premise pour la solution de partage de fichiers ShareFile. Elle permet aux organisations de conserver leurs données sur leur propre infrastructure tout en utilisant l'interface SaaS ShareFile pour la gestion des accès et des transferts.
L'application effectue une redirection HTTP vers la page de connexion sans bloquer l'accès à la ressource demandée, ce qui constitue un contournement d'authentification de type Execution After Redirect.
Un attaquant non authentifié peut ainsi accéder directement à l'endpoint /ConfigService/Admin.aspx et à l'ensemble de l'interface d'administration, et modifier la configuration système.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Contournement de la politique de sécurité
• Atteinte à l'intégrité des données
Exploitation
CWE-284 : Improper Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
ShareFile Storage Zones Controller versions antérieures à 5.12.4
Solutions ou recommandations
• Toute version 6.x et supérieures (non affectées).