**Progress Software** a corrigé deux failles de sécurité dans **MOVEit Automation**, une solution de transfert de fichiers géré (MFT) couramment utilisée dans les environnements d'entreprise. ### Détails des vulnérabilités Les vulnérabilités sont les suivantes : * **CVE-2026-4670** (score CVSS : 9.8) : Une vulnérabilité de contournement d'authentification. * **CVE-2026-5174** (score CVSS : 7.7) : Une vulnérabilité de validation incorrecte des entrées qui pourrait permettre une escalade de privilèges. Selon l'avis de **Progress Software**, ces failles "peuvent permettre le contournement de l'authentification et l'escalade de privilèges via les interfaces du port de commande du backend du service", entraînant potentiellement "un accès non autorisé, un contrôle administratif et une exposition des données." ### Versions affectées Les versions suivantes sont affectées et doivent être mises à jour : * MOVEit Automation <= 2025.1.4 (Corrigé dans MOVEit Automation 2025.1.5) * MOVEit Automation <= 2025.0.8 (Corrigé dans MOVEit Automation 2025.0.9) * MOVEit Automation <= 2024.1.7 (Corrigé dans MOVEit Automation 2024.1.8) ### Découverte et atténuation Les chercheurs Anaïs Gantet, Delphine Gourdou, Quentin Liddell et Matteo Ricordeau d'**Airbus SecLab** sont crédités de la découverte et du signalement des vulnérabilités. Il n'existe pas de contournement connu en dehors de l'application des correctifs fournis. Compte tenu de l'historique des vulnérabilités de **MOVEit Transfer** exploitées par des groupes de ransomware comme Cl0p, une correction immédiate est fortement recommandée.