Progress Software ha lanzado actualizaciones para abordar dos fallas de seguridad en MOVEit Automation, incluido un error crítico que podría resultar en una omisión de autenticación.
MOVEit Automation (anteriormente Central) es una solución segura de transferencia de archivos administrada (MFT) basada en servidor que se utiliza para programar y automatizar flujos de trabajo de movimiento de archivos en entornos empresariales sin necesidad de scripts personalizados.
Las vulnerabilidades en cuestión son CVE-2026-4670 (Puntuación CVSS: 9,8), una vulnerabilidad de omisión de autenticación, y CVE-2026-5174 (Puntuación CVSS: 7,7), una vulnerabilidad de validación de entrada inadecuada que podría permitir una escalada de privilegios.
«Las vulnerabilidades críticas y altas en MOVEit Automation pueden permitir la omisión de autenticación y la escalada de privilegios a través de las interfaces del puerto de comando del backend del servicio», Progress Software dicho en un aviso. «La explotación puede dar lugar a acceso no autorizado, control administrativo y exposición de datos».
Las deficiencias afectan a las siguientes versiones:
- MOVEit Automation <= 2025.1.4 (corregido en MOVEit Automation 2025.1.5)
- MOVEit Automation <= 2025.0.8 (corregido en MOVEit Automation 2025.0.9)
- MOVEit Automation <= 2024.1.7 (corregido en MOVEit Automation 2024.1.8)
Los investigadores de Airbus SecLab Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau han sido acreditado con descubrir e informar las dos vulnerabilidades. No existen soluciones alternativas que resuelvan los problemas.
Si bien Progress no menciona las fallas que se están explotando en la naturaleza, es esencial que los usuarios apliquen las correcciones lo antes posible para una protección óptima, especialmente teniendo en cuenta que defectos anteriores en Transferencia MOVEit han sido explotados por bandas de ransomware como Cl0p.
Fuente