Impatto Sistemico

Critico (79.48)

Sintesi

Disponibili Proof of Concept (PoC) per le CVE-2026-2699 e CVE-2026-2701 – già sanate dal vendor a marzo 2026 – presenti negli Storage Zone Controller di Progress ShareFile, software enterprise usato per condividere, archiviare e gestire file in modo sicuro nel cloud.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

Ricercatori di sicurezza hanno recentemente pubblicato Proof of Concept (PoC) per lo sfruttamento di due vulnerabilità presenti negli Storage Zone Controller di Progress ShareFile.

In particolare, la CVE-2026-2699 – di tipo “Authentication Bypass“ – riguarda l’endpoint /ConfigService/Admin.aspx , e potrebbe consentire di eludere i meccanismi di autenticazione e accedere alla schermata di configurazione amministrativa degli Zone Controller.

La CVE-2026-2701 – di tipo “Arbitrary Code Execution” – potrebbe consentire a un utente con accesso alla schermata di configurazione amministrativa degli Zone Controller di eseguire codice arbitrario tramite il caricamento di file opportunamente predisposti. In combinazione con la CVE-2026-2699, può consentire a utenti malintenzionati remoti non autenticati di eseguire codice arbitrario sui sistemi interessati.

Prodotti e versioni affette

Progress Storage Zone Controller 5.x, versioni precedenti alla 5.12.4

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.