Pre-Auth-Lücke in ShareFile: 30.000 Server offen
WatchTowr-Forscher veröffentlichten am 2. April 2026 zwei verkettete Schwachstellen in Progress ShareFile, die unauthentifizierten Angreifern ermöglichen, Code auszuführen und alle auf betroffenen Servern gespeicherten Dateien zu exfiltrieren. Etwa 30.000 Instanzen sind im öffentlichen Internet exponiert.
VaultTools · 3. April 2026
Foto auf Unsplash
Inhaltsverzeichnis
- Was Forscher herausfanden
- Wie die Zwei-Schwachstellen-Kette funktioniert
- Die Ironie: Entwickelt für privaten Dateispeicher
- Umfang und Patch-Status
- Was das für die Wahl von Datei-Tools bedeutet
- Quellen
Was Forscher Herausfanden
Am 2. April 2026 veröffentlichte das offensive Sicherheitsunternehmen watchTowr technische Details zu zwei Schwachstellen im Storage Zone Controller (SZC) von Progress ShareFile, die, wenn sie verkettet werden, einem unauthentifizierten Angreifer ermöglichen, beliebigen Code auf dem Server auszuführen und alle in der betroffenen Zone gespeicherten Dateien zu exfiltrieren. Der BleepingComputer-Bericht bestätigte, dass für keinen Schritt des Angriffs eine Authentifizierung erforderlich ist.
Die unter CVE-2026-2699 und CVE-2026-2701 verfolgten Schwachstellen wurden Progress zwischen dem 6. und 13. Februar 2026 gemeldet. Der Hersteller veröffentlichte am 10. März 2026 eine gepatchte Version, SZC 5.12.4. Zum Zeitpunkt der öffentlichen Offenlegung war keine aktive Ausnutzung in freier Wildbahn bestätigt worden, obwohl watchTowr anmerkte, dass die öffentliche Offenlegung der vollständigen Kette “wahrscheinlich Bedrohungsakteure anlocken wird”.
Wie Die Zwei-Schwachstellen-Kette Funktioniert
Die Kette beginnt mit CVE-2026-2699, einem Authentifizierungs-Bypass, der durch einen Execution-After-Redirect-Fehler im /ConfigService/Admin.aspx-Endpunkt verursacht wird. Die Anwendung ruft Response.Redirect() mit einem Parameter auf, der die Weiterleitung festlegt, ohne die Ausführung zu beenden. Infolgedessen verarbeitet und rendert die administrative Oberfläche ihre vollständige Antwort trotz der 302-Weiterleitung, was unauthentifizierten Zugriff auf administrative Funktionen ermöglicht.
Mit dem etablierten Admin-Zugriff nutzt ein Angreifer CVE-2026-2701, um Remote-Code-Ausführung zu erreichen. Der Angriff konfiguriert den Storage-Repository-Pfad neu, um auf das Webroot-Verzeichnis der Anwendung zu zeigen, und lädt dann über den /upload.aspx-Endpunkt eine ZIP-Datei hoch, die eine ASPX-Webshell enthält. Da die Dateiextraktion Dateiendungen beibehält, landet die Webshell im Webroot und wird ausführbar. Die Berechnung der erforderlichen HMAC-SHA256-Signaturen zur Validierungspassage ist möglich, da Zone-Secrets nach dem initialen Bypass lesbar werden.
Das Ergebnis ist vollständige Kontrolle über das Dateispeichersystem und die Fähigkeit, beliebige in der betroffenen Zone gespeicherte Dokumente zu lesen, zu modifizieren oder zu exfiltrieren.
Die Ironie: Entwickelt Für Privaten Dateispeicher
Der Storage Zone Controller von Progress ShareFile ist die Komponente, die Organisationen einsetzen, wenn sie Dateien auf ihrer eigenen Infrastruktur statt in ShareFiles Cloud halten möchten. Wie watchTowr in ihrer Offenlegung anmerkte: “ShareFiles Storage Zone Controller existiert speziell für Organisationen, die ihren Dateien nicht der Infrastruktur von jemand anderem anvertrauen können.”
Die eigentliche Zielgruppe für SZC umfasst Organisationen mit regulatorischen, rechtlichen oder internen Anforderungen, die die Speicherung sensibler Dateien in Cloud-Umgebungen Dritter verbieten. Die Schwachstellenkette bedeutet, dass Organisationen, die diese Architektur zur Wahrung der Datei-Privatsphäre nutzten, in der Zeit zwischen Entdeckung und Patch Server-Infrastruktur betrieben, die für einen unauthentifizierten Angreifer mit Kenntnis der Schwachstelle vollständig zugänglich war.
Das Center for Internet Security veröffentlichte ein Advisory, das die Schwachstellen als geeignet einordnet, vollständige Systemkompromittierung zu ermöglichen.
Umfang Und Patch-Status
Internet-Scans von watchTowr fanden etwa 30.000 öffentlich exponierte Storage Zone Controller-Instanzen. Die ShadowServer Foundation identifizierte rund 700 bestätigte internetseitige Instanzen, hauptsächlich in den USA und Europa.
Die gepatchte Version, SZC 5.12.4, wurde von Progress am 10. März 2026 veröffentlicht. Organisationen, die Version 5.12.3 oder früher betreiben, sind der vollständigen unauthentifizierten Kette ausgesetzt. Progress hat keinen öffentlichen Kommentar zum Ausnutzungsstatus über die Patch-Veröffentlichung hinaus abgegeben.
Was Das Für Die Wahl Von Datei-Tools Bedeutet
Die ShareFile-Schwachstelle veranschaulicht das strukturelle Problem der serverseitigen Dateiverarbeitung für datenschutzsensible Workloads: Dateien, die nicht exponiert werden dürfen, werden auf Servern gespeichert; Server betreiben Software; und Software hat Fehler, die ausgenutzt werden können, bevor Organisationen von der Schwachstelle wissen.
Dieser Fall ist direkter als die meisten. ShareFile SZC wurde speziell von sicherheitsbewussten Organisationen als Alternative zur Vertrauensgewährung gegenüber einem Cloud-Anbieter ausgewählt. Die Angriffskette erfordert keine Anmeldedaten und ist von jedem ausführbar, der den Server erreichen kann. Dateien, die privat bleiben sollten, weil sie lokal gehalten wurden, waren, solange die Schwachstelle ungepacht war, so zugänglich, als hätten sie in einem öffentlichen Bucket gelegen.
Dateiverarbeitung, die vollständig im Browser mit WebAssembly läuft, hinterlässt keinen Server-Footprint. Keine Dateien werden remote gespeichert, kein Speicherpfad kann von einem Angreifer neu konfiguriert werden, und keine Webshell kann hochgeladen werden, weil es keinen Upload-Endpunkt als Ziel gibt. Die ShareFile-Offenlegung ist ein konkretes Beispiel dafür, was browser-seitige lokale Verarbeitung vermeidet: eine gesamte Kategorie von Infrastrukturangriffen, die nicht existiert, wenn die Datei das Gerät nie verlässt.
Quellen
- New Progress ShareFile flaws can be chained in pre-auth RCE attacks (BleepingComputer)
- You’re Not Supposed To ShareFile With Everyone (CVE-2026-2699 & CVE-2026-2701) (watchTowr Labs)
- Multiple Vulnerabilities in Progress ShareFile Could Allow for Remote Code Execution (Center for Internet Security)
- Security Vulnerability Fix For ShareFile Storage Zones Controller 5.x (February 2026) (Progress ShareFile Docs)