Nach Angaben von Progress lässt sich die kritische Lücke nur durch ein Upgrade auf eine gepatchte Version mit dem vollständigen Installationspaket beheben. „Wir haben die Schwachstelle behoben, und das Progress-MOVEit-Automation-Team empfiehlt dringend, ein Upgrade auf die neueste Version durchzuführen", heißt es im Hinweis des Unternehmens. Während des Upgrades komme es zu einem Ausfall des Systems.
Parallel zur Auth-Bypass-Lücke veröffentlichte Progress am selben Tag Sicherheitsupdates gegen eine hochgefährliche Schwachstelle zur Rechteausweitung. Diese unter CVE-2026-5174 geführte Lücke geht ebenfalls auf eine fehlerhafte Eingabevalidierung in MOVEit Automation zurück.
Wie viele Systeme potenziell erreichbar sind, zeigt eine von Daniel Card, Sicherheitsberater bei PwnDefend, geteilte Shodan-Suche: Mehr als 1.400 MOVEit-Automation-Instanzen sind demnach über das Internet erreichbar, über ein Dutzend davon stehen in Verbindung mit lokalen und bundesstaatlichen Behörden in den USA. Wie viele dieser Systeme bereits gegen Angriffe auf CVE-2026-4670 abgesichert wurden, ist nicht bekannt.
Progress hat die aktuellen Schwachstellen bisher nicht als aktiv ausgenutzt eingestuft. Andere Sicherheitslücken in MOVEit-MFT-Produkten waren in den vergangenen Jahren jedoch Ziel von Angriffen. So nutzte die Ransomware-Gruppe Clop im Jahr 2023 eine Zero-Day-Lücke in der Plattform MOVEit Transfer für eine umfangreiche Serie von Datendiebstählen aus. Nach Schätzungen von Emsisoft waren davon mehr als 2.100 Organisationen und über 62 Millionen Personen betroffen.
MFT-Software ist für Ransomware-Akteure ein attraktives Ziel. Das zeigten frühere Clop-Kampagnen, die auf Schwachstellen in Accellion FTA, SolarWinds Serv-U, Gladinet CentreStack, GoAnywhere MFT und Cleo abzielten. Nach eigenen Angaben werden die MOVEit-MFT-Lösungen von Progress weltweit von mehr als 3.000 Unternehmen und über 100.000 Nutzern eingesetzt.