文章总结： ProgressSoftware公司警告MOVEitAutomation企业级文件传输软件存在严重身份验证绕过漏洞CVE-2026-4670，影响2025.1.5等旧版本，允许远程攻击者无需权限即可利用。同时披露高危权限提升漏洞CVE-2026-5174，建议用户立即升级至最新版本。公开数据显示超1400个实例暴露于互联网，此前类似MOVEit漏洞曾遭Clop勒索软件大规模利用。 综合评分： 85 文章分类： 漏洞预警,解决方案,应用安全,网络安全,威胁情报

Progress 提醒注意严重的 MOVEit 自动化认证绕过漏洞

Sergiu Gatlan Sergiu Gatlan

代码卫士

2026年5月6日 18:13 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Progress Software公司提醒客户修复MOVEit Automation企业级托管文件传输 (MFT) 应用程序中的一个严重身份验证绕过漏洞CVE-2026-4670。该漏洞影响2025.1.5、2025.0.9及2024.1.8之前版本的MOVEit Automation。远程威胁攻击者可在无需权限、无需用户交互的低复杂度攻击中利用该漏洞。

MOVEit Automation能够自动处理复杂的数据工作流，无需手动编写脚本，并可作为一个集中的自动化编排工具，用于调度和管理不同系统之间（包括本地服务器、云存储以及外部合作伙伴）的文件传输。

该公司在上周四的一份公告中表示：“该漏洞已被修复，Progress MOVEit Automation团队强烈建议执行升级到最新版本。使用完整安装程序升级到已打补丁的版本是修复此问题的唯一方法。升级过程中系统将出现中断。”

同一天，Progress还发布了安全更新，解决同一个软件中因输入验证不当导致的一个高严重性权限提升漏洞（CVE-2026-5174）。

根据PwnDefend网络安全顾问Daniel Card分享的Shodan搜索结果，超过1400个MOVEit Automation实例暴露在互联网上，其中十多个与美国地方和州政府机构有关联。然而，目前尚无信息表明这些系统中有多少已经针对CVE-2026-4670攻击做好了安全防护。

尽管该公司尚未将这些安全问题标记为已遭在野利用，但近年来其它MoveIT MFT漏洞已成为攻击目标。例如，根据Emsisoft的估计，Clop勒索软件团伙在2023年利用MOVEit Transfer安全文件传输平台中的一个 0day 漏洞，发起了一系列大规模的数据窃取攻击，影响了超过2100个组织和逾6200万个人。MFT软件历来是勒索软件行为者的攻击目标，此前Clop的数据窃取活动就曾瞄准Accellion FTA、SolarWinds Serv-U、Gladinet CentreStack、GoAnywhere MFT以及Cleo等产品中的安全漏洞。

Progress Software表示，MOVEit MFT解决方案在全球范围内的企业用户超过3000多家，用户超过10万名。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Progress ShareFile 漏洞可用于发动预认证 RCE 攻击

Progress：尽快修复 WhatsUp Gold 中的多个严重漏洞

Progress 紧急修复影响 LoadMaster 的超危RCE漏洞

Progress 提醒注意Telerik Report Server中的严重RCE漏洞

原文链接

https://www.bleepingcomputer.com/news/security/moveit-automation-customers-warned-to-patch-critical-auth-bypass-flaw/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Sergiu Gatlan Sergiu Gatlan《Progress 提醒注意严重的 MOVEit 自动化认证绕过漏洞》