Deux failles critiques dans Progress ShareFile permettent une exécution de code à distance sans authentification. 30 000 instances sont exposées.
En bref
- Deux vulnérabilités critiques dans Progress ShareFile (CVE-2026-2699 et CVE-2026-2701) peuvent être chaînées pour obtenir une exécution de code à distance sans authentification.
- Environ 30 000 instances du Storage Zones Controller sont exposées sur Internet public, selon les chercheurs de watchTowr.
- Le correctif est disponible dans ShareFile 5.12.4 — la mise à jour doit être appliquée en urgence.
Ce qui s'est passé
Les chercheurs en sécurité de watchTowr ont révélé deux vulnérabilités critiques dans le composant Storage Zones Controller (SZC) de Progress ShareFile, une plateforme de partage de fichiers largement utilisée en entreprise. La première faille, CVE-2026-2699, est un contournement d'authentification causé par une mauvaise gestion des redirections HTTP. Elle permet à un attaquant d'accéder à l'interface d'administration de ShareFile sans identifiants valides.
Une fois dans l'interface d'administration, l'attaquant peut modifier les paramètres de configuration des zones de stockage, notamment les chemins de stockage de fichiers et les secrets de sécurité comme la passphrase de la zone. C'est là qu'intervient la seconde faille, CVE-2026-2701, une exécution de code à distance post-authentification. En combinant les deux vulnérabilités, un attaquant peut générer des signatures HMAC valides, extraire et déchiffrer les secrets internes, puis déposer un webshell sur le serveur cible, le tout sans aucune authentification préalable.
D'après les scans réalisés par watchTowr, environ 30 000 instances du Storage Zones Controller sont directement exposées sur Internet. Progress a publié le correctif dans la version ShareFile 5.12.4, disponible depuis le 10 mars 2026. Les organisations utilisant la branche 5.x de ShareFile sont invitées à appliquer cette mise à jour en priorité, comme le rapporte BleepingComputer.
Pourquoi c'est important
ShareFile est utilisé par de nombreuses entreprises, cabinets d'avocats et établissements de santé pour échanger des documents sensibles. Une chaîne d'exploitation pré-authentification sur ce type de plateforme représente un risque majeur : accès aux documents confidentiels, pivot vers le réseau interne et potentiel déploiement de ransomware. Progress, l'éditeur de ShareFile, a déjà été au centre de campagnes d'exploitation massives, notamment avec MOVEit en 2023.
Le nombre élevé d'instances exposées (30 000) et la disponibilité probable de preuves de concept techniques laissent présager une exploitation active dans les semaines à venir. Les équipes de sécurité doivent traiter cette mise à jour avec la même urgence qu'un zero-day en cours d'exploitation.
Ce qu'il faut retenir
- Appliquez immédiatement la mise à jour vers ShareFile 5.12.4 si vous utilisez le Storage Zones Controller en version 5.x.
- Vérifiez les logs d'accès de votre instance ShareFile pour détecter toute activité suspecte sur l'interface d'administration depuis début mars.
- Limitez l'exposition réseau de vos instances ShareFile en restreignant l'accès à l'interface d'administration via VPN ou liste blanche d'IP.
Comment vérifier si mon instance ShareFile est vulnérable ?
Vérifiez la version de votre Storage Zones Controller dans l'interface d'administration sous la section « À propos ». Toute version 5.x antérieure à 5.12.4 est vulnérable. Si vous ne pouvez pas mettre à jour immédiatement, placez l'interface d'administration derrière un VPN et surveillez les tentatives d'accès aux endpoints d'administration dans vos logs IIS ou reverse proxy.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
HPE AOS-CX : une faille CVSS 9.8 permet le reset des mots de passe admin
HPE publie un correctif pour CVE-2026-23813, une faille CVSS 9.8 dans AOS-CX permettant à un attaquant non authentifié de réinitialiser les mots de passe admin des switches Aruba.
766 serveurs Next.js compromis : vol massif de credentials via NEXUS Listener
Au moins 766 serveurs Next.js ont été compromis via React2Shell (CVE-2025-55182). Les attaquants utilisent le panneau C2 NEXUS Listener pour centraliser les credentials volés depuis les fichiers .env.
Cisco corrige deux failles critiques CVSS 9.8 dans IMC et SSM
Cisco publie des correctifs urgents pour deux failles CVSS 9.8 dans IMC et SSM On-Prem. CVE-2026-20093 permet la prise de contrôle admin sans authentification, CVE-2026-20160 offre une exécution root à distance.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire