Progress Software ha lanzado actualizaciones para abordar dos fallas de seguridad en MOVEit Automation, incluido un error crítico que podría resultar en una omisión de autenticación.
MOVEit Automation (anteriormente Central) es una solución segura de transferencia de archivos administrada (MFT) basada en servidor que se utiliza para programar y automatizar flujos de trabajo de movimiento de archivos en entornos empresariales sin necesidad de scripts personalizados.
Las vulnerabilidades en cuestión son CVE-2026-4670 (puntuación CVSS: 9,8), una vulnerabilidad de omisión de autenticación, y CVE-2026-5174 (puntuación CVSS: 7,7), una vulnerabilidad de validación de entrada incorrecta que podría permitir una escalada de privilegios.
«Las vulnerabilidades críticas y altas en MOVEit Automation pueden permitir eludir la autenticación y escalar privilegios a través de las interfaces del puerto de comando del backend del servicio», dijo Progress Software en un aviso. «La explotación puede dar lugar a acceso no autorizado, control administrativo y exposición de datos».
Las deficiencias afectan a las siguientes versiones:
- MOVEit Automatización
- MOVEit Automatización
- MOVEit Automatización
A los investigadores de Airbus SecLab Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau se les atribuye el descubrimiento y el informe de las dos vulnerabilidades. No existen soluciones alternativas que resuelvan los problemas.
Si bien Progress no menciona las fallas que se están explotando en la naturaleza, es esencial que los usuarios apliquen las correcciones lo antes posible para una protección óptima, particularmente teniendo en cuenta que las fallas anteriores en MOVEit Transfer han sido explotadas por bandas de ransomware como Cl0p.
