Vulnerabilidades críticas en ShareFile 2026
Vulnerabilidad crítica - 07/04
Introducción
Dos vulnerabilidades críticas en Progress ShareFile Storage Zones Controller (SZC), CVE-2026-2699 y CVE-2026-2701, pueden representar un riesgo significativo para las organizaciones que operan despliegues autogestionados de este software. Aunque cada falla es distinta en su naturaleza, juntas pueden ser explotadas de forma encadenada, permitiendo desde el acceso no autorizado hasta la ejecución remota de código en los sistemas afectados.
CVE-2026-2699 es un fallo de bypass de autenticación. El problema surge porque la aplicación no valida correctamente el estado de sesión antes de permitir el acceso a funcionalidades administrativas. Aunque intenta redirigir a los usuarios no autenticados hacia la página de login, no detiene la ejecución del código en el servidor, lo que permite a un atacante interactuar con recursos privilegiados sin credenciales. Esta vulnerabilidad compromete la confidencialidad e integridad de la configuración del sistema y puede ser utilizada como punto de partida para ataques más avanzados.
CVE-2026-2701, por su parte, es una vulnerabilidad de ejecución remota de código relacionada con la carga y descompresión de archivos. El sistema permite subir y extraer archivos en rutas accesibles desde el servidor web sin aplicar controles adecuados, lo que posibilita la ejecución de código malicioso. Combinada con el acceso obtenido mediante CVE-2026-2699, esta vulnerabilidad permite a un atacante sin credenciales iniciales comprometer completamente el servidor, obteniendo control total sobre la infraestructura.
Análisis
CVE-2026-2699 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
CVE-2026-2699 se clasifica como un fallo de bypass de autenticación derivado de una validación incorrecta del estado de sesión en recursos administrativos, lo que permite a actores no autenticados interactuar con funcionalidades privilegiadas.
El problema reside en una implementación defectuosa del flujo de autenticación en la aplicación web. Cuando un usuario no autenticado solicita acceso a endpoints restringidos como paneles administrativos o interfaces de configuración, el sistema intenta aplicar una redirección hacia la página de login. Sin embargo, esta medida es insuficiente porque la ejecución del código en el servidor no se interrumpe tras emitir dicha redirección. Como consecuencia, la lógica asociada al recurso protegido se procesa igualmente, generando una condición en la que un cliente no autenticado puede recibir respuestas válidas o provocar efectos en el sistema sin haber superado ningún control de acceso efectivo.
Desde un punto de vista técnico, esta vulnerabilidad puede entenderse como una mala implementación del control de flujo tras una redirección HTTP (comúnmente asociada a “execution after redirect”) combinada con una falta de validación robusta de sesión en el backend. La aplicación delega implícitamente la seguridad en el comportamiento del cliente (navegador), en lugar de aplicar controles estrictos en el servidor, lo que rompe el principio fundamental de “fail securely”. Un atacante puede explotar esta debilidad enviando peticiones HTTP directas a endpoints administrativos, ignorando el comportamiento esperado de redirección y aprovechando que el servidor ya ha procesado la solicitud.
Esta vulnerabilidad es explotable de forma remota, no requiere autenticación previa ni interacción del usuario y afecta a componentes que suelen estar expuestos en entornos corporativos.
La falla impacta a todas las versiones de Storage Zones Controller 5.x hasta la 5.12.3 incluida.
CVE-2026-2701 - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H - 9,1
CVE-2026-2701 es una vulnerabilidad crítica de ejecución remota de código (RCE) que constituye el componente de ejecución dentro de la cadena de ataque iniciada por CVE-2026-2699 y se clasifica como un fallo en el manejo de cargas de archivos y procesos de extracción que permite introducir y ejecutar código arbitrario en el servidor.
El origen de la vulnerabilidad se encuentra en la lógica de subida y descompresión de archivos implementada en el sistema. ShareFile permite a usuarios autenticados cargar archivos comprimidos que posteriormente son extraídos en el servidor. Sin embargo, el mecanismo de validación de estos archivos es insuficiente, lo que permite a un atacante introducir contenido malicioso, como archivos ejecutables ASPX, dentro de rutas accesibles por el servidor web.
El sistema no restringe adecuadamente ni el tipo de archivo ni la ubicación final tras la extracción, lo que posibilita que un archivo comprimido especialmente diseñado contenga una webshell ASPX, que al ser descomprimida en el directorio web (webroot), queda accesible vía HTTP. Una vez desplegada, esta webshell permite al atacante ejecutar comandos arbitrarios en el servidor con los privilegios del proceso web, logrando así ejecución remota de código.
A diferencia de CVE-2026-2699, esta vulnerabilidad por sí sola requiere privilegios de usuario autenticado para ser explotada. Sin embargo, en escenarios reales, esta limitación pierde relevancia cuando se combina con el bypass de autenticación, ya que un atacante puede primero obtener acceso administrativo no autorizado y posteriormente explotar esta debilidad para ejecutar código.
La vulnerabilidad impacta a todas las versiones de SZC 5.x hasta la 5.12.3 incluida.
Recomendaciones
Actualizar a 5.12.4 o superior.
Workarounds
No hay workarounds para estas vulnerabilidades.