Progress heeft twee ernstige beveiligingslekken gedicht in MOVEit Automation. De eerste, CVE-2026-4670, scoort een kritieke 9,8 op de CVSS-schaal en maakt authenticatieomzeiling mogelijk. De tweede, CVE-2026-5174, stelt aanvallers in staat beheerdersrechten te verkrijgen. Upgraden naar een veilige versie is de enige oplossing.
CVE-2026-4670 betreft een authenticatiebypass via de backend command port-interfaces van de service. Met een CVSS-score van 9,8 valt deze in de zwaarste categorie. Een aanvaller zonder geldige inloggegevens kan op afstand toegang verkrijgen tot het systeem, zonder dat gebruikersinteractie vereist is.
De tweede kwetsbaarheid, CVE-2026-5174, hangt direct samen met de eerste. Een aanvaller die via de bypass toegang heeft verkregen, kan door onvoldoende validatie van invoer zijn rechten opschalen naar beheerdersniveau. De CVSS-score ligt hier op 7,7. Samen creëren beide lekken een pad van ongeautoriseerde toegang naar volledige beheerderscontrole en mogelijke datablootstelling.
Beide kwetsbaarheden werden ontdekt door onderzoekers van Airbus SecLab: Anaïs Gantet, Delphine Gourdou, Quentin Liddell en Matteo Ricordeau. Getroffen versies zijn MOVEit Automation 2025.1.4 en ouder, 2025.0.8 en ouder, en 2024.1.7 en ouder. Volgens Bleeping Computer zijn meer dan 1.400 MOVEit Automation-instances publiek toegankelijk via internet. Bevestigde exploits in het wild zijn op dit moment niet gerapporteerd.
Upgrade is de enige remedie
Progress maakt duidelijk dat er geen alternatieve mitigatie beschikbaar is. “De enige manier om dit probleem op te lossen is door te upgraden naar een gepatchte versie met behulp van het volledige installatieprogramma”, aldus Progress. Tijdens de installatie zal er een onderbreking van de service zijn.
Veilige versies zijn 2025.1.5, 2025.0.9 en 2024.1.8. Gebruikers met een actief onderhoudscontract kunnen de upgrade downloaden via het Progress Community-portaal. Wie de versie wil controleren, vindt die in de MOVEit Automation Web Admin via Help → About. MOVEit is eerder doelwit geweest van gerichte aanvallen, zoals de grootschalige Clop-ransomwarecampagne in 2023.