Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en MOVEit Automation

Fecha de publicación 05/05/2026
Identificador
INCIBE-2026-323
Importancia
5 - Crítica
Recursos Afectados
  • MOVEit Automation, versión 2025.1.4 y anteriores;
  • MOVEit Automation, versión 2025.0.8 y anteriores;
  • MOVEit Automation, versión 2024.1.7 y anteriores.
Descripción

Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau del Airbus SecLab han descubierto 2 vulnerabilidades, una de severidad crítica y otra alta que, en caso de ser explotadas, podrían permitir la omisión de la autenticación y la escalada de privilegios; permitiendo el acceso no autorizado, control del sistema a nivel del administrador y el acceso a información.

Solución

Actualizar el producto a alguna de las siguientes versiones:

  • MOVEit Automation, versión 2025.1.5;
  • MOVEit Automation, versión 2025.0.9;
  • MOVEit Automation, versión 2024.1.8.
Detalle

Las vulnerabilidades son las siguientes y se explotan a través de las interfaces del puerto de comandos del backend del servicio:

  • CVE-2026-4670: Evitación de autenticación por una vulnerabilidad principal.
  • CVE-2026-5174: Validación incorrecta de la entrada permite la escalada de privilegios.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-4670 Crítica No Progress
CVE-2026-5174 Alta No Progress
Listado de referencias
Progress - MOVEit Automation Critical Security Alert Bulletin – April 2026 – (CVE-2026-4670, CVE-2026-5174)
Etiquetas