Progress, 인증 우회를 가능하게 하는 MOVEit Automation의 심각한 버그를 패치

Source: The Hacker News

취약점

• CVE‑2026‑4670 – 인증 우회 (CVSS 9.8)
  상세 내용:

• CVE‑2026‑5174 – 부적절한 입력 검증으로 인한 잠재적 권한 상승 (CVSS 7.7)
  상세 내용:

Progress Software는 “MOVEit Automation의 중대 및 고위험 취약점이 서비스 백엔드 명령 포트 인터페이스를 통해 인증 우회 및 권한 상승을 가능하게 할 수 있다”고 밝혔습니다. 악용될 경우 무단 접근, 관리 권한 장악 및 데이터 노출이 발생할 수 있습니다.

영향을 받는 버전

• MOVEit Automation ≤ 2025.1.4 (2025.1.5에서 수정)
• MOVEit Automation ≤ 2025.0.8 (2025.0.9에서 수정)
• MOVEit Automation ≤ 2024.1.7 (2024.1.8에서 수정)

크레딧

이 취약점은 Airbus SecLab 연구원 Anaïs Gantet, Delphine Gourdou, Quentin Liddell, Matteo Ricordeau에 의해 발견 및 보고되었습니다.

완화 조치

• 우회 방법은 없으며, 유일한 해결책은 제공된 패치를 적용하는 것입니다.
• Progress가 현재 야생에서의 활발한 악용 사례를 보고하지 않았지만, 특히 과거 MOVEit Transfer 결함이 Cl0p와 같은 랜섬웨어 그룹에 의해 악용된 이력을 고려할 때, 사용자는 즉시 수정된 버전으로 업데이트해야 합니다.

추가적인 이전 MOVEit Transfer 문제에 대한 컨텍스트는 다음을 참조하십시오: