Vulnerabilidad Crítica en ShareFile: RCE Pre-Auth 2026
Progress ShareFile, la solución de transferencia de archivos ahora de Progress (antes Citrix), tiene dos vulnerabilidades críticas de ejecución remota de código sin autenticación previa: CVE-2026-2699 y CVE-2026-2701. Afectan Storage Zone Controller versión 5.x. Los atacantes pueden acceder a páginas de configuración sin credenciales y ejecutar código arbitrario. No hay reportes de explotación activa aún, pero es CVSS crítica. Actualización urgente a v5.12.4 o v6.
En 30 segundos
- Dos CVEs críticas en Storage Zone Controller: acceso sin auth + RCE (CVSS 9.8 y 9.9)
- Solo versión 5.x afectada (hasta 5.12.3). v6 está segura.
- Actualizar a v5.12.4 o v6 inmediatamente. Si no podés, limitar acceso a red interna.
- Soluciones de transferencia de archivos son objetivo histórico: MOVEit (2023), Cleo (2024), GoAnywhere (2025).
- Impacto: robo de datos confidenciales, despliegue de ransomware, acceso sin control a documentos.
¿Qué es Progress ShareFile y Storage Zone Controller?
Progress ShareFile es una plataforma de colaboración y transferencia de archivos segura (fue adquirida por Progress en 2021, antes era de Citrix). La empresa te vende la idea de “estructura segura para trabajar con clientes — compartir archivos, recopilar firmas, solicitar datos, todo en un lugar”.
Existe en dos modalidades: SaaS (hospedado por Progress) y on-premises. Acá viene lo importante: el componente on-premises se llama Storage Zone Controller. Es una puerta de enlace que instalás en tu infraestructura para mantener los archivos bajo tu control, sin que vayan a servidores de Progress. Muchas empresas lo usan porque necesitan cumplir regulaciones sobre residencia de datos o simplemente no quieren que sus documentos confidenciales salgan de su network.
El problema es que Storage Zone Controller es exactamente el tipo de software que atrae a ciberdelincuentes (ponele que manejás archivos de clientes). Si lográs acceso no autorizado, tenés acceso a todo.
Las vulnerabilidades CVE-2026-2699 y CVE-2026-2701 explicadas
watchTowr Labs (un equipo de research en ciberseguridad) publicó un análisis el 2 de abril de 2026 describiendo una cadena de vulnerabilidades. No son dos problemas aislados: se encadenan para lograr ejecución remota de código sin que el atacante necesite credenciales válidas.
CVE-2026-2699 permite acceso sin autenticación a páginas de configuración de Storage Zone Controller. El atacante puede navegar interfaces administrativas que deberían estar protegidas.
CVE-2026-2701 va más allá: una vez dentro (gracias a CVE-2026-2699), el atacante puede subir archivos arbitrarios y ejecutar código. Esto es RCE puro. Esto se conecta con lo que analizamos en mantener tus sitios actualizados.
Los scores CVSS son críticos. CVE-2026-2699 es 9.8, CVE-2026-2701 es 9.9. Eso significa: “arreglalo ahora, no mañana, no la próxima semana”.
¿Quién está en riesgo? Versiones afectadas
La vulnerabilidad afecta Storage Zone Controller versión 5.x hasta 5.12.3. Si estás en v5.12.4 o superior, estás limpio. Si estás en v6, también estás seguro (no es afectado).
Ojo: solo deployments on-premises están expuestos. Si usás ShareFile como SaaS (hosting de Progress), no te toca. El riesgo es específico de clientes que instalaron Storage Zone Controller en su propia infraestructura.
¿Cómo sabés qué versión tenés? Entrá a tu Storage Zone Controller, mirá la interfaz de administración (Settings → About). Anota el número. Si dice “5.12.3” o inferior, necesitás actuar. Si dice “5.12.4” o “6.x”, ya estás actualizado.
Cadena de ataque: de acceso a RCE
El flujo es simple pero devastador. El atacante:
- Accede a
https://tu-storage-zone-controller.com/admin(o ruta equivalente) sin credenciales (CVE-2026-2699) - Navega a la sección de configuración que permite subir archivos o ejecutar scripts
- Sube un archivo con código malicioso (CVE-2026-2701)
- Ejecuta el código. Ahora tiene control del servidor.
Una vez que tiene control, puede hacer lo que quiera: exfiltrar documentos, modificar configuración, instalar ransomware, crear backdoors para acceso futuro, o simplemente destruir datos.
El equipo de watchTowr Labs proporcionó detalles suficientes en su reporte para que otros investigadores entiendan el flujo, pero no publicaron código de explotación automática. Dicho esto, si sos actor malicioso de nivel medio hacia arriba, puedés armarte un exploit en pocas horas (esto es especulación educada, no confirmado que haya ocurrido).
Impacto empresarial: por qué esto es grave
Mirá el historial de incidentes en soluciones de transferencia de archivos. MOVEit (Progress, también) en 2023 fue explotado masivamente, dejando comprometidos miles de sitios. Cleo Harmony, VLTrader y LexiCom en 2024 tuvieron brechas similares. GoAnywhere en 2025 tuvo exploits activos en la naturaleza. Más contexto en alternativas privadas y seguras.
¿Qué hacen los atacantes cuando logran acceso a una solución de transferencia de archivos?
Robo de datos: los documentos que pasán por ShareFile son típicamente confidenciales (contratos, financieros, médicos, legales). Si un atacante tiene acceso sin restricciones, se lleva todo.
Ransomware: encriptan los archivos, piden rescate. Con RCE, pueden ir más allá: encriptar todos los backups, modificar configuración, hacer que la recuperación sea casi imposible.
Lateral movement: Storage Zone Controller suele estar conectado a tu red interna. RCE en este servidor es punto de entrada para piratear otros sistemas (bases de datos, correo corporativo, recursos compartidos).
Pasos inmediatos: qué hacer hoy
Acción prioritaria 1: Actualizar
Actualizá Storage Zone Controller a v5.12.4 o v6 inmediatamente. Si es tu primer update en meses, tomá las precauciones estándar: hacé backup del servidor, testeá en un ambiente de testing antes de producción (si lo tenés), schedulea una ventana de mantenimiento.
Acción prioritaria 2: Auditar acceso
Revisá quién tiene acceso administrativo a Storage Zone Controller. Mirá los logs de acceso de los últimos 30 días. ¿Ves intentos de acceso desde IPs extrañas? ¿Accesos a horas raras? Investigá.
Acción prioritaria 3: Limitar exposición de red
Si actualizar lleva tiempo (burocracia corporativa, testing, etc.), en el corto plazo: limitá el acceso a Storage Zone Controller a direcciones IP conocidas. Idealmente, que solo sea accesible desde tu red interna o VPN, no desde internet público. Esto reduce el riesgo mientras actualizás. En herramientas especializadas de análisis profundizamos sobre esto.
Acción prioritaria 4: Backups offline
Asegurate que tenés backups de los datos almacenados en Storage Zone Controller que NO estén conectados a la red (offline). Si hay ransomware, estas copias te permiten recuperarte sin pagar rescate.
Alternativas seguras a ShareFile
Si esto te tiene dudando sobre ShareFile en general, acá hay opciones con track record más limpio (hasta ahora):
| Solución | Modelo | Cifrado | On-Premises | Precio aprox. |
|---|---|---|---|---|
| Dropbox Business | SaaS | AES 256-bit | No | USD 17-27/usuario/mes |
| Box | SaaS + On-prem | AES 256-bit | Sí (Box Relay) | USD 10-37/usuario/mes |
| FileCloud | On-Prem | AES 256-bit | Sí | Perpetua ~USD 1000 |
| Kiteworks | SaaS + On-prem | AES 256-bit | Sí | Consultar a ventas |
| MEGA | SaaS | AES 128-bit (client) + TLS | No | USD 5-20/mes/usuario |
Ninguna de estas está completamente libre de vulnerabilidades (ningún software lo está), pero tienen mejores historiales de divulgación responsable y update rápidos.
Si necesitás on-premises específicamente (regulación, datos sensibles), Box Relay y FileCloud son tus opciones más consolidadas. Kiteworks es más nuevo pero con buena reputación. Si podés tolerar SaaS, Dropbox Business es la opción más simple y confiable.
Errores comunes al manejar esta vulnerabilidad
Error 1: “Nuestro Storage Zone Controller no está en internet, estamos seguros”
Falso. Si Storage Zone Controller está en tu red interna y alguien logra acceso a tu red (phishing, malware en una máquina de un empleado, falta de segmentación), tiene acceso directo. Además, algunos Storage Zone Controllers son accesibles desde internet sin que el dueño lo sepa (misconfiguration).
Error 2: “Actualizamos a v5.12.3 hace dos meses, estamos bien”
No. v5.12.3 es la versión vulnerable. Necesitás v5.12.4 como mínimo. Chequeá el número exacto.
Error 3: “Esperemos a que haya más información antes de actualizar”
Con CVSS 9.8 y 9.9, esto es de las cosas donde la tardanza se paga caro. Si sabés que estás vulnerable y esperas semanas, corres riesgo real. Cubrimos ese tema en detalle en comparar plataformas empresariales.
Preguntas Frecuentes
¿Qué es exactamente Storage Zone Controller?
Es el componente on-premises de ShareFile que se instala en tu infraestructura para mantener archivos bajo tu control, sin que vayan a los servidores de Progress. Es una puerta de enlace entre tus usuarios y tu almacenamiento interno.
¿Si estoy en ShareFile SaaS (cloud de Progress), estoy afectado?
No. Solo los que instalaron Storage Zone Controller en su propio servidor están expuestos. SaaS es responsabilidad de Progress actualizarlo en sus servidores.
¿Hay exploits públicos circulando?
No reportados aún (al 2 de abril de 2026). watchTowr Labs no publicó código de explotación completo. Pero la ventana es corta antes de que alguien independiente lo haga.
¿Cuánto tarda actualizar de v5.12.3 a v5.12.4?
Típicamente 30-60 minutos de downtime si todo va bien. El proceso es instalar el parche, reiniciar el servicio, verificar que se levantó correctamente. Siempre hacé backup antes.
¿Dónde encuentro las actualizaciones?
En el anuncio oficial de Progress o en tu portal de descargas. Si no tenés acceso, contactá a soporte de Progress con tu número de licencia.
Conclusión
CVE-2026-2699 y CVE-2026-2701 son vulnerabilidades críticas que abren la puerta a ejecución remota de código sin autenticación previa en Storage Zone Controller. No son teóricas ni técnicas: son reales, cadena de ataque clara, impacto alto. Si tenés Storage Zone Controller v5.x, actualizar a v5.12.4 o v6 no es opcional.
El historial de soluciones de transferencia de archivos demuestra que los atacantes explotan estas vulnerabilidades rápido y a escala. MOVEit, Cleo, GoAnywhere. ShareFile podría ser la siguiente si no te movés.
Hoy: actualización urgente + auditar acceso + limitar exposición de red si no podés actualizar inmediatamente + verificar backups. La inversión de tiempo ahora te ahorra crisis después.
