Progress 警告严重的 MOVEit Automation 认证绕过漏洞
发布: (2026年5月4日 GMT+8 20:18)
3 分钟阅读
Source: Bleeping Computer
摘要
Progress Software 警告客户对其 MOVEit Automation 企业级托管文件传输(MFT)应用程序中的关键身份验证绕过漏洞进行补丁修复。
MOVEit Automation 在无需手动脚本的情况下自动化复杂的数据工作流,并充当中心自动化编排器,调度和管理不同系统之间的文件传输,包括本地服务器、云存储和外部合作伙伴。
漏洞细节
该漏洞被标记为 CVE‑2026‑4670,影响以下版本之前的 MOVEit Automation:
- 2025.1.5
- 2025.0.9
- 2024.1.8
远程威胁行为者可以在目标系统上无需特权、低复杂度的攻击中利用该漏洞,且不需要用户交互。
“我们已经解决了该漏洞,Progress MOVEit Automation 团队强烈建议升级到最新版本,”公司在周四的通告中表示。“使用完整安装程序升级到已修补的版本是唯一的补救办法。升级期间系统将会出现停机。”
— Progress advisory
其他安全更新
同一天,Progress 发布了针对高危特权提升漏洞 CVE‑2026‑5174 的更新,该漏洞源于同一软件中的输入验证不当。
暴露情况概览
网络安全顾问 Daniel Card 分享的 Shodan 搜索结果显示:
- 超过 1,400 个 MOVEit Automation 实例在网上暴露
- 超过十个实例与美国地方和州政府机构关联
目前尚无公开信息说明这些系统中有多少已经对 CVE‑2026‑4670 进行防护。
历史背景
虽然该特定问题尚未被报告在野外被利用,但其他 MOVEit MFT 漏洞已被积极攻击:
- Clop 勒索软件团伙 在 2023 年利用了 MOVEit Transfer 平台的零日漏洞,影响了 2,100 多家组织和超过 6200 万个人(BleepingComputer; Emsisoft)。
- 类似攻击还针对 Accellion FTA、SolarWinds Serv‑U、Gladinet CentreStack、GoAnywhere MFT 和 Cleo 等产品的漏洞。
采用情况
Progress Software 表示,其 MOVEit MFT 解决方案已被全球超过 3,000 家企业组织和 100,000 多用户使用。