**Progress Software** hat zwei Sicherheitslücken in **MOVEit Automation**, einer Managed File Transfer (MFT) Lösung, die häufig in Unternehmensumgebungen eingesetzt wird, geschlossen. ### Details zu den Schwachstellen Die Schwachstellen sind: * **CVE-2026-4670** (CVSS-Score: 9.8): Eine Schwachstelle, die einen Authentifizierungs-Bypass ermöglicht. * **CVE-2026-5174** (CVSS-Score: 7.7): Eine Schwachstelle aufgrund fehlerhafter Eingabevalidierung, die eine Eskalation von Berechtigungen ermöglichen könnte. Laut dem Advisory von **Progress Software** könnten diese Lücken "einen Authentifizierungs-Bypass und eine Eskalation von Berechtigungen über die Backend-Befehlsport-Schnittstellen des Dienstes ermöglichen", was potenziell zu "unbefugtem Zugriff, administrativer Kontrolle und Datenoffenlegung" führen könnte. ### Betroffene Versionen Die folgenden Versionen sind betroffen und sollten aktualisiert werden: * MOVEit Automation <= 2025.1.4 (Behoben in MOVEit Automation 2025.1.5) * MOVEit Automation <= 2025.0.8 (Behoben in MOVEit Automation 2025.0.9) * MOVEit Automation <= 2024.1.7 (Behoben in MOVEit Automation 2024.1.8) ### Entdeckung und Abhilfemaßnahmen Die Forscher Anaïs Gantet, Delphine Gourdou, Quentin Liddell und Matteo Ricordeau von **Airbus SecLab** werden für die Entdeckung und Meldung der Schwachstellen geehrt. Es gibt keine bekannten Workarounds außer der Anwendung der bereitgestellten Patches. Angesichts der Geschichte von Schwachstellen in **MOVEit Transfer**, die von Ransomware-Gruppen wie Cl0p ausgenutzt wurden, wird ein sofortiges Patchen dringend empfohlen.