Progress corrige un bypass crítico de autenticación en MOVEit Automation (CVE-2026-4670)

Progress ha publicado parches para MOVEit Automation ante un bypass de autenticación crítico, CVE-2026-4670, que permitiría acceso remoto sin credenciales. También se corrige CVE-2026-5174, un fallo de escalado de privilegios que puede agravar el impacto si un atacante logra entrar. La actualización debe aplicarse con el instalador completo y requiere una parada temporal del servicio.

Las plataformas de Managed File Transfer (MFT) suelen concentrar flujos de información delicada entre empresas, partners y sistemas internos, por lo que se han convertido en un objetivo especialmente atractivo para atacantes. En este contexto, Progress ha desplegado correcciones para MOVEit Automation tras identificarse dos fallos que, combinados o por separado, pueden abrir la puerta a accesos no autorizados y a un control más profundo del entorno afectado.

La vulnerabilidad más grave es CVE-2026-4670, clasificada como crítica, que permite un bypass de autenticación en remoto antes de iniciar sesión. El defecto se describe como explotable sin privilegios previos, con baja complejidad y sin interacción del usuario, un perfil que suele acelerar la urgencia operativa porque reduce barreras para automatizar intentos de explotación. El alcance incluye versiones de MOVEit Automation anteriores a 2025.1.5, 2025.0.9 y 2024.1.8. Para evitar confusiones en inventarios y CMDB, también se han detallado equivalencias internas de numeración, por ejemplo 2025.1.4 equivale a 17.1.4, 2025.0.8 a 17.0.8 y 2024.1.7 a 16.1.7.

El segundo problema, CVE-2026-5174, tiene severidad alta y se asocia a una validación de entrada inadecuada que puede desembocar en escalado de privilegios. Se indica de forma explícita su impacto en la rama 2025.1.x, desde 2025.1.0 hasta 2025.1.4, lo que eleva la prioridad de parcheo para quienes estén en esa línea. Ambos fallos están vinculados a interfaces del puerto de comandos del backend del servicio de MOVEit Automation, una zona especialmente sensible porque conecta con operaciones internas de la plataforma.

Aunque en el momento de la publicación no se ha confirmado explotación activa en ataques reales, el riesgo no es teórico: se han observado más de 1.400 instancias de MOVEit Automation expuestas a Internet, y este tipo de exposición reduce el tiempo de reacción disponible. Un compromiso podría traducirse en acceso no autorizado, obtención de control administrativo y posible exposición de datos, incluyendo credenciales almacenadas en tareas automatizadas y ficheros empresariales que transitan o se gestionan desde la herramienta.

La remediación pasa por actualizar a las versiones parchadas 2025.1.5, 2025.0.9 o 2024.1.8 según la rama. Es relevante que la corrección de CVE-2026-4670 exige aplicar la actualización mediante el instalador completo, y no se describen medidas alternativas que mitiguen totalmente el problema, por lo que conviene asumir desde el inicio que no existe un workaround equivalente. Esto implica planificar una ventana de mantenimiento, ya que el proceso provoca una interrupción del servicio durante la instalación.

Además del parcheo, se recomienda reforzar la vigilancia operativa revisando registros de auditoría y eventos del producto para detectar accesos anómalos, intentos de escalado de privilegios o actividad inusual relacionada con la interfaz backend. Si no es posible actualizar de inmediato, la medida temporal más efectiva es restringir el acceso de red a MOVEit Automation, especialmente desde Internet, limitándolo a redes internas y a orígenes estrictamente necesarios, mientras se prepara el despliegue del instalador completo. La investigación se atribuye a Airbus SecLab y a los investigadores Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau.

Más información

• BleepingComputer – Progress warns of critical MOVEit Automation auth bypass flaw : https://www.bleepingcomputer.com/news/security/moveit-automation-customers-warned-to-patch-critical-auth-bypass-flaw/
• The Hacker News – Progress Patches Critical MOVEit Automation Bug Enabling Authentication Bypass : https://thehackernews.com/2026/05/progress-patches-critical-moveit.html
• Help Net Security – Critical MOVEit Automation auth bypass vulnerability fixed (CVE-2026-4670) : https://www.helpnetsecurity.com/2026/05/04/critical-moveit-automation-auth-bypass-vulnerability-fixed-cve-2026-4670/
• Canadian Centre for Cyber Security – Progress security advisory (AV26-410) : https://www.cyber.gc.ca/en/alerts-advisories/progress-security-advisory-av26-410
• Beazley Security – Critical Vulnerability in Progress MOVEit Automation (CVE-2026-4670) : https://beazley.security/alerts-advisories/critical-vulnerability-in-progress-moveit-automation-cve-2026-4670
• NIST NVD – CVE-2026-5174 Detail : https://nvd.nist.gov/vuln/detail/CVE-2026-5174

La entrada Progress corrige un bypass crítico de autenticación en MOVEit Automation (CVE-2026-4670) se publicó primero en Una Al Día.

Artículo de Hispasec publicado en https://unaaldia.hispasec.com/2026/05/progress-corrige-un-bypass-critico-de-autenticacion-en-moveit-automation-cve-2026-4670.html?utm_source=rss&utm_medium=rss&utm_campaign=progress-corrige-un-bypass-critico-de-autenticacion-en-moveit-automation-cve-2026-4670