Progress 修补关键 MOVEit Automation 漏洞，导致身份验证绕过

Source: The Hacker News

漏洞

• CVE‑2026‑4670 – 认证绕过（CVSS 9.8）
  细节：

• CVE‑2026‑5174 – 输入验证不当导致潜在的特权提升（CVSS 7.7）
  细节：

Progress Software 表示，“MOVEit Automation 中的关键和高危漏洞可能允许通过服务后端命令端口接口进行认证绕过和特权提升。”利用这些漏洞可能导致未授权访问、管理员控制以及数据泄露。

受影响的版本

• MOVEit Automation ≤ 2025.1.4（已在 2025.1.5 中修复）
• MOVEit Automation ≤ 2025.0.8（已在 2025.0.9 中修复）
• MOVEit Automation ≤ 2024.1.7（已在 2024.1.8 中修复）

致谢

这些漏洞由 Airbus SecLab 研究员 Anaïs Gantet、Delphine Gourdou、Quentin Liddell 和 Matteo Ricordeau 发现并报告。

缓解措施

• 暂无可用的变通方案；唯一的修复方法是应用提供的补丁。
• 虽然 Progress 尚未报告在野外有活跃的利用，但用户应及时更新到已修复的版本，尤其考虑到 MOVEit Transfer 过去的漏洞曾被 Cl0p 等勒索软件组织利用。

欲了解之前的 MOVEit Transfer 问题的更多背景，请参见：