Los piratas informáticos podrían explotar las vulnerabilidades en la herramienta MOVEit Automation de Progress Software para acceder indebidamente a los datos de las empresas, dijo el fabricante de software en un aviso reciente.
Explotación de las dos fallas: una vulnerabilidad de omisión de autenticación rastreada como CVE-2026-4670 y una vulnerabilidad de escalada de privilegios rastreada como CVE-2026-5174 – podría “conducir a acceso no autorizado, control administrativo y exposición de datos” según el aviso de Progress Software.
Las fallas recientemente reparadas representan serias debilidades de seguridad en un programa de transferencia de archivos administrado ampliamente utilizado que ayuda a las organizaciones a transferir datos entre servidores autohospedados, plataformas en la nube y proveedores externos.
Progress Software instó a los clientes a actualizar a la última versión del software, que corrige ambas vulnerabilidades.
CVE-2026-4670 se considera una vulnerabilidad crítica, mientras que CVE-2026-5174 tiene una puntuación de gravedad alta.
«Actualizar a una versión parcheada, utilizando el instalador completo, es la única forma de solucionar este problema», dijo Progress Software, advirtiendo que el software de transferencia de archivos deberá cerrarse para la actualización.
Más de 1.440 dispositivos conectados a Internet ejecutan versiones vulnerables de MOVEit Automation, incluidos 16 asociados con agencias gubernamentales estatales y locales, según la herramienta de escaneo de Internet Shodan.
MOVEit ha sido fuente de gran ansiedad para los expertos en ciberseguridad y líderes empresariales en el pasado. En 2023, una vulnerabilidad de día cero en el software alimentó una ola de piratería masiva eso incluido ataques graves de ransomware por la banda de ciberdelincuentes Cl0p.
Fuente