Progress comble une faille critique dans MoveIT Automation

Spécialiste en solutions de développement et déploiement d'applications, Progress Software a alerté sur deux failles dont une critique dans son outil MoveIT Automation. Elles ouvrent la voie à du contournement d'authentification et de l'escalade de privilèges.

Créé en 1981, Progress Software est un éditeur historique en solutions d'intégration de middleware, développement et déploiement d'applications. Après avoir traversé une période délicate en 2023 sur le front de la sécurité avec plusieurs vulnérabilités exploitées, dont une par le cybergang par ransomware Clop concernant MoveIT Transfer, le fournisseur a lancé une dernière alerte. Dans un bulletin, la société a prévenu de l'existence de deux failles affectant cette fois MoveIT Automation : la première, critique (CVE-2026-4670, score CVSS 9,8), débouche sur du contournement d'authentification avec possibilité pour des pirates de s'introduire dans le système sans nom d'utilisateur ni mot de passe. Selon Shodan, plus de 1 400 instances sont ouvertes sur l'Internet public et donc potentiellement à risque. L'autre vulnérabilité, importante (CVE-2026-5174, score CVSS 8,8), ouvre la voie à de l'escalade de privilèges via les interfaces du port de commande du backend du service. A ce stade aucune trace de compromission active n'est à déplorer.

MoveIT Automation automatise les flux de données complexes sans nécessiter de programmation manuelle et sert de plateforme centrale d'orchestration pour planifier et gérer les transferts de fichiers entre différents systèmes, notamment les serveurs locaux, le stockage dans le cloud et les partenaires externes. Ce logiciel est utilisé par plus de 3 000 grandes entreprises dans le monde pour transférer automatiquement des fichiers entre différents systèmes, notamment dans les domaines de la paie, de la santé et des administrations publiques.

Les mises à jour correctives disponibles

Les versions exposées de ce logiciel sont les suivantes : 2025-1.4 et antérieures, 2025.0.8 et inférieures, et 2024.1.7 et moins. « Nous avons corrigé cette vulnérabilité et l'équipe Progress MoveIT Automation recommande vivement de procéder à une mise à jour vers la dernière version », enjoint le fournisseur. Les montées de versions bénéficiant de correctifs sont les suivantes : 2025.1.5, 2025.0.9 et 2024.1.8. « La mise à niveau vers une version corrigée, à l'aide du programme d'installation complet, est le seul moyen de résoudre ce problème », explique Progress. « Le système sera indisponible pendant la durée de la mise à niveau. Pour tous les clients bénéficiant d'un contrat de maintenance en cours, la mise à niveau est accessible en se connectant à Progress Community. »