CRITICAL🇬🇧 English

CVE-2026-4670

Pominięcie uwierzytelnienia w Progress MOVEit Automation (CVE-2026-4670)

CVSS 9.8v3.1pub. 2026-04-30upd. 2026-05-04

Krytyczna podatność typu authentication bypass w Progress Software MOVEit Automation umożliwia nieuwierzytelnionemu atakującemu zdalne ominięcie mechanizmów uwierzytelnienia. Ze względu na brak wymagań co do uprawnień i interakcji użytkownika, podatność jest szczególnie niebezpieczna w środowiskach produkcyjnych.

Pokaż oryginał (EN)

Authentication bypass by primary weakness vulnerability in Progress Software MOVEit Automation allows Authentication Bypass. This issue affects MOVEit Automation: from 2025.0.0 before 2025.0.9, from 2024.0.0 before 2024.1.8, versions prior to 2024.0.0.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) polega na tym, że atakujący może ominąć główny mechanizm uwierzytelnienia aplikacji bez posiadania jakichkolwiek danych uwierzytelniających. Atak jest realizowany zdalnie przez sieć (AV:N), nie wymaga żadnych uprawnień (PR:N) ani interakcji ze strony użytkownika (UI:N), a złożoność ataku jest niska (AC:L). Szczegółowy mechanizm techniczny nie został ujawniony w publicznym biuletynie producenta.

Skutki

Skuteczne wykorzystanie podatności może umożliwić atakującemu pełne przejęcie kontroli nad systemem MOVEit Automation, w tym uzyskanie nieautoryzowanego dostępu do poufnych danych, modyfikację lub usunięcie danych oraz zakłócenie dostępności usługi (pełne naruszenie poufności, integralności i dostępności).

Mitygacja

Należy niezwłocznie zaktualizować MOVEit Automation do wersji 2025.0.9 lub nowszej (dla gałęzi 2025.x) albo do wersji 2024.1.8 lub nowszej (dla gałęzi 2024.x). Szczegółowe instrukcje dotyczące aktualizacji dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem: https://community.progress.com/s/article/MOVEit-Automation-Critical-Security-Alert-Bulletin-April-2026-CVE-2026-4670-CVE-2026-5174

Kogo dotyczy

Progress Software MOVEit Automation w wersjach: od 2025.0.0 przed 2025.0.9, od 2024.0.0 przed 2024.1.8 oraz wszystkie wersje wcześniejsze niż 2024.0.0.

Uwagi

Biuletyn producenta obejmuje również drugą podatność — CVE-2026-5174. Administratorzy powinni zapoznać się z pełną treścią biuletynu, aby ocenić wpływ obu CVE na posiadane środowiska.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Progress Moveit Automation

    APP
    Progress
    < 2024.1.82025.0.0 – 2025.1.5 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-5174HIGH7.7ten sam produkt

Improper input validation vulnerability in Progress Software MOVEit Automation allows Privilege Escalation. T...

CVE-2026-8485MEDIUM5.9ten sam produkt

Uncontrolled Memory Allocation vulnerability in Progress Software MOVEit Automation allows Excessive Allocatio...

CVE-2026-8487MEDIUM6.5ten sam produkt

Incorrect default permissions vulnerability in Progress Software MOVEit Automation allows Retrieve Embedded Se...

CVE-2026-8488MEDIUM4.3ten sam produkt

Allocation of resources without limits or throttling vulnerability in Progress Software MOVEit Automation allo...

CVE-2026-8486MEDIUM5.3ten sam produkt

Allocation of resources without limits or throttling vulnerability in Progress Software MOVEit Automation allo...