Progress Software stuft die schwerwiegendere der beiden Schwachstellen, CVE-2026-4670, mit einem CVSS-Wert von 9.8 als kritisch ein. Sie erlaubt es Angreifern, die Authentifizierung zu umgehen. Die zweite Lücke, CVE-2026-5174, erhält einen CVSS-Wert von 7.7 und beruht auf einer unzureichenden Eingabevalidierung, die eine Rechteausweitung ermöglichen kann.
In einer Mitteilung beschreibt Progress Software, dass kritische und hochgradige Schwachstellen in MOVEit Automation eine Umgehung der Authentifizierung sowie eine Rechteausweitung über die Backend-Befehlsport-Schnittstellen des Dienstes erlauben können. Eine erfolgreiche Ausnutzung könne zu unbefugtem Zugriff, administrativer Kontrolle und der Offenlegung von Daten führen.
Bei MOVEit Automation handelt es sich um eine serverbasierte MFT-Lösung, die früher unter dem Namen Central geführt wurde. Sie dient dazu, in Unternehmensumgebungen Arbeitsabläufe für Dateibewegungen zu planen und zu automatisieren, ohne dass dafür eigene Skripte erforderlich sind.
Entdeckt und gemeldet wurden die beiden Schwachstellen von den Forschern Anaïs Gantet, Delphine Gourdou, Quentin Liddell und Matteo Ricordeau vom Airbus SecLab. Workarounds, die das Problem ohne Update beheben, stehen nicht zur Verfügung.
Progress Software macht keine Angaben dazu, dass die Schwachstellen bereits aktiv ausgenutzt werden. Dennoch sollten Betroffene die bereitgestellten Korrekturen zügig einspielen. Das gilt umso mehr vor dem Hintergrund, dass frühere Schwachstellen in MOVEit Transfer bereits von Ransomware-Gruppen wie Cl0p ausgenutzt wurden.