Krytyczna podatność typu authentication bypass w Progress Software MOVEit Automation umożliwia nieuwierzytelnionemu atakującemu zdalne ominięcie mechanizmów uwierzytelnienia. Ze względu na brak wymagań co do uprawnień i interakcji użytkownika, podatność jest szczególnie niebezpieczna w środowiskach produkcyjnych.
▸ Pokaż oryginał (EN)
Authentication bypass by primary weakness vulnerability in Progress Software MOVEit Automation allows Authentication Bypass. This issue affects MOVEit Automation: from 2025.0.0 before 2025.0.9, from 2024.0.0 before 2024.1.8, versions prior to 2024.0.0.
Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) polega na tym, że atakujący może ominąć główny mechanizm uwierzytelnienia aplikacji bez posiadania jakichkolwiek danych uwierzytelniających. Atak jest realizowany zdalnie przez sieć (AV:N), nie wymaga żadnych uprawnień (PR:N) ani interakcji ze strony użytkownika (UI:N), a złożoność ataku jest niska (AC:L). Szczegółowy mechanizm techniczny nie został ujawniony w publicznym biuletynie producenta.
Skuteczne wykorzystanie podatności może umożliwić atakującemu pełne przejęcie kontroli nad systemem MOVEit Automation, w tym uzyskanie nieautoryzowanego dostępu do poufnych danych, modyfikację lub usunięcie danych oraz zakłócenie dostępności usługi (pełne naruszenie poufności, integralności i dostępności).
Należy niezwłocznie zaktualizować MOVEit Automation do wersji 2025.0.9 lub nowszej (dla gałęzi 2025.x) albo do wersji 2024.1.8 lub nowszej (dla gałęzi 2024.x). Szczegółowe instrukcje dotyczące aktualizacji dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem: https://community.progress.com/s/article/MOVEit-Automation-Critical-Security-Alert-Bulletin-April-2026-CVE-2026-4670-CVE-2026-5174
Progress Software MOVEit Automation w wersjach: od 2025.0.0 przed 2025.0.9, od 2024.0.0 przed 2024.1.8 oraz wszystkie wersje wcześniejsze niż 2024.0.0.
Biuletyn producenta obejmuje również drugą podatność — CVE-2026-5174. Administratorzy powinni zapoznać się z pełną treścią biuletynu, aby ocenić wpływ obu CVE na posiadane środowiska.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HProgress Moveit Automation
APPProgress< 2024.1.82025.0.0 – 2025.1.5 (bez)
Powiązane podatności
Improper input validation vulnerability in Progress Software MOVEit Automation allows Privilege Escalation. T...
Uncontrolled Memory Allocation vulnerability in Progress Software MOVEit Automation allows Excessive Allocatio...
Incorrect default permissions vulnerability in Progress Software MOVEit Automation allows Retrieve Embedded Se...
Allocation of resources without limits or throttling vulnerability in Progress Software MOVEit Automation allo...
Allocation of resources without limits or throttling vulnerability in Progress Software MOVEit Automation allo...