Múltiples vulnerabilidades en MOVEit Automation
- MOVEit Automation, versión 2025.1.4 y anteriores;
- MOVEit Automation, versión 2025.0.8 y anteriores;
- MOVEit Automation, versión 2024.1.7 y anteriores.
Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau del Airbus SecLab han descubierto 2 vulnerabilidades, una de severidad crítica y otra alta que, en caso de ser explotadas, podrían permitir la omisión de la autenticación y la escalada de privilegios; permitiendo el acceso no autorizado, control del sistema a nivel del administrador y el acceso a información.
Actualizar el producto a alguna de las siguientes versiones:
- MOVEit Automation, versión 2025.1.5;
- MOVEit Automation, versión 2025.0.9;
- MOVEit Automation, versión 2024.1.8.
Las vulnerabilidades son las siguientes y se explotan a través de las interfaces del puerto de comandos del backend del servicio:
- CVE-2026-4670: Evitación de autenticación por una vulnerabilidad principal.
- CVE-2026-5174: Validación incorrecta de la entrada permite la escalada de privilegios.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-4670 | Crítica | No | Progress |
| CVE-2026-5174 | Alta | No | Progress |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.