Progress Software ha lanzado una actualización que soluciona dos fallas de seguridad en MOVEit Automation, incluido un error crítico que podría provocar una omisión de autenticación.
MOVEit Automation (anteriormente Central) es una solución segura de transferencia de archivos administrada (MFT) basada en servidor que se utiliza para programar y automatizar flujos de trabajo de movimiento de archivos en entornos empresariales sin la necesidad de scripts personalizados.
Las vulnerabilidades en cuestión son CVE-2026-4670 (puntuación CVSS: 9,8), una vulnerabilidad de omisión de autenticación, y CVE-2026-5174 (puntuación CVSS: 7,7), una vulnerabilidad de validación de entrada incorrecta que permite la escalada de privilegios.
«Una vulnerabilidad grave y avanzada en MOVEit Automation podría permitir eludir la autenticación y/o escalar privilegios a través de la interfaz del puerto de comando del servidor», dijo Progress Software en un aviso. «El uso indebido puede provocar acceso no autorizado, control administrativo y fuga de datos».
Esta deficiencia afecta a las siguientes versiones:
MOVEit Automation <= 2025.1.4 (Fijado en MOVEit Automation 2025.1.5) MOVEit Automation <= 2025.0.8 (Fijado en MOVEit Automation 2025.0.9) MOVEit Automation <= 2024.1.7 (Fijado en MOVEit Automation 2024.1.8)
A los investigadores de Airbus SecLab, Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau se les atribuye el descubrimiento y el informe de las dos vulnerabilidades. No existen soluciones alternativas para resolver el problema.
Aunque Progress no mencionó qué fallas se están explotando en la naturaleza, es importante que los usuarios apliquen la solución lo antes posible para una protección óptima, especialmente teniendo en cuenta que las fallas anteriores en MOVEit Transfer han sido explotadas por bandas de ransomware como Cl0p.
Source link
