Wieder kritische Sicherheitslücken in MOVEIt (30.4.2026)

Veröffentlicht am 5. Mai 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Verwendet jemand aus der Leserschaft das Transfer-Programm MOVEIt? In 2023 sorgte eine Schwachstelle für heftige Datenlecks (siehe auch MOVEit Transfer: Neue Schwachstelle; dringend patchen!). Nun warnt der Anbieter wieder vor einer Sicherheitslücke, die dringend gepatcht werden muss.

Warnung vor Schwachstellen in MOVEIt

Progress Software hat bereits zum 30. April 2026 die Sicherheitswarnung MOVEit Automation Critical Security Alert Bulletin – April 2026 – (CVE-2026-4670, CVE-2026-5174) herausgegeben. Kritische und hochgradige eingestufte Sicherheitslücken in MOVEit Automation können eine Umgehung der Authentifizierung und eine Rechteausweitung über die Befehlsport-Schnittstellen des Service-Backends ermöglichen. Ich bin über nachfolgenden Tweet darauf gestoßen – The Hacker News hat es hier aufgegriffen.

  • CVE-2026-4670 (CVSS Score: 9.8) ist eine Authentication Bypass-Schwachstelle
  • CVE-2026-5174 (CVSS Score: 7.7), ist eine Privilege Escalation-Schwachstelle auf Grund unzureichender Eingabevalidierung.

Progress Software erklärte in seiner Sicherheitswarnung, dass eine Ausnutzung dieser Schwachstellen zu unbefugtem Zugriff, der Übernahme von Administratorrechten und der Offenlegung von Daten führen kann. Eine Analyse der Schwachstelle CVE-2026-4670 findet sich hier. Betroffen sind folgende Produkte:

  • MOVEit Automation <= 2025.1.4
  • MOVEit Automation <= 2025.0.8
  • MOVEit Automation <= 2024.1.7

Bei Progress MOVEit Automation vor 2025.1.5, 2025.0.9, 2024.1.8, ermöglicht eine Sicherheitslücke in Progress Software MOVEit Automation die Umgehung der Authentifizierung. Dieses Problem betrifft MOVEit Automation: ab 2025.0.0 vor 2025.0.9, ab 2024.0.0 vor 2024.1.8 sowie Versionen vor 2024.0.0.

Eine weitere Schwachstelle durch unsachgemäße Eingabevalidierung in Progress Software MOVEit Automation ermöglicht eine Rechteausweitung. Dieses Problem betrifft MOVEit Automation: ab 2025.0.0 bis 2025.1.5, ab 2024.0.0 bis 2024.1.8 sowie Versionen vor 2024.0.0.

Progress Software hat die Sicherheitslücke behoben, und das Progress MOVEit Automation-Team empfiehlt dringend, ein Upgrade auf die neueste Version durchzuführen.

Affected Versions Fixed Version  Documentation
MOVEit Automation 2025.1.4 (17.1.4) and earlier MOVEit Automation 2025.1.5 https://docs.progress.com/bundle/moveit-automation-install-2025/page/Upgrade-MOVEit-Automation.html
MOVEit Automation 2025.0.8 (17.0.8) and earlier MOVEit Automation 2025.0.9 https://docs.progress.com/bundle/moveit-automation-install-2025/page/Upgrade-MOVEit-Automation.html
MOVEit Automation 2024.1.7 (16.1.7) and earlier MOVEit Automation 2024.1.8 https://docs.progress.com/bundle/moveit-automation-instal

Ein Upgrade auf eine gepatchte Version unter Verwendung des vollständigen Installationsprogramms ist die einzige Möglichkeit, dieses Problem zu beheben. Während des Upgrades kommt es zu einem Systemausfall. Kunden mit einem gültigen Wartungsvertrag können das Upgraden nach Anmeldung bei der Progress Community abrufen. Weitere Details sind dem Sicherheitshinweis zu entnehmen.

Ähnliche Artikel:
MOVEit Transfer: Neue Schwachstelle; dringend patchen!
Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle
MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?
Datenleck bei Postbank und Deutscher Bank; ING und Comdirect
MOVEit-Schwachstelle: CCleaner-Nutzer auch betroffen; Deutsche Bank und ING lassen Datenleck prüfen
MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen
MOVEit Transfer: Neue Sicherheitswarnung und Update (6. Juli 2023)
MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen
Das MOVEit-Desaster: Proof of Concept; Clop-Gang veröffentlicht Opferdaten
MoveIT-Anbieter Progress Software meldet gravierende Schwachstellen in WS_FTP Server
Progress MOVEit Transfer: Angriffe auf Schwachstelle CVE-2024-5806)

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen für den Permalink.

3 Kommentare zu Wieder kritische Sicherheitslücken in MOVEIt (30.4.2026)

  1. Gänseblümchen sagt:
    5. Mai 2026 um 10:38 Uhr

    Heise schreibt, Klartext-Passworter im RAM von MS-Edge Passwort-Manager "by Design"… :(

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.