**Progress Software** corrigiu duas falhas de segurança no **MOVEit Automation**, uma solução de transferência segura de arquivos (MFT) comumente utilizada em ambientes corporativos. ### Detalhes da Vulnerabilidade As vulnerabilidades são: * **CVE-2026-4670** (CVSS score: 9.8): Uma vulnerabilidade de bypass de autenticação. * **CVE-2026-5174** (CVSS score: 7.7): Uma vulnerabilidade de validação de entrada inadequada que pode permitir escalonamento de privilégios. De acordo com o aviso da **Progress Software**, essas falhas "podem permitir bypass de autenticação e escalonamento de privilégios através das interfaces da porta de comando do backend do serviço", potencialmente levando a "acesso não autorizado, controle administrativo e exposição de dados." ### Versões Afetadas As seguintes versões são afetadas e devem ser atualizadas: * MOVEit Automation <= 2025.1.4 (Corrigido em MOVEit Automation 2025.1.5) * MOVEit Automation <= 2025.0.8 (Corrigido em MOVEit Automation 2025.0.9) * MOVEit Automation <= 2024.1.7 (Corrigido em MOVEit Automation 2024.1.8) ### Descoberta e Mitigação Os pesquisadores Anaïs Gantet, Delphine Gourdou, Quentin Liddell e Matteo Ricordeau da **Airbus SecLab** são creditados pela descoberta e relato das vulnerabilidades. Não há workarounds conhecidos além da aplicação das correções fornecidas. Dada a história de vulnerabilidades do **MOVEit Transfer** sendo exploradas por grupos de ransomware como o Cl0p, a aplicação imediata de patches é fortemente recomendada.