企業檔案傳輸自動化工具MOVEit Automation存在重大漏洞，攻擊者可藉此繞過身分驗證流程

MOVEit Automation的CVE-2026-4670可能遭利用來繞過身分驗證流程，根據NVD資料，Progress Software作為CNA給出的CVSS 3.1評分為9.8分，攻擊條件包含可透過網路發動、攻擊複雜度低，且不需要既有權限，也不需要使用者互動。

CVE-2026-5174則是輸入驗證不當造成的權限提升漏洞。NVD資料顯示，該漏洞同樣可透過網路利用，攻擊複雜度低也不需要使用者互動，但需要低權限身分作為前提。Progress Software給出的CVSS 3.1評分為7.7分，NIST NVD評分則為8.8分，兩者皆為高風險等級。

CVE-2026-4670影響MOVEit Automation 2025.0.0至2025.0.8、2024.0.0至2024.1.7，以及2024.0.0之前版本，CVE-2026-5174則另涵蓋2025.1分支，包含2025.1.0至2025.1.4、2025.0.0至2025.0.8、2024.0.0至2024.1.7，以及2024.0.0之前版本。

Progress Software已釋出對應修補版本，官方修補版本為MOVEit Automation 2025.1.5、2025.0.9與2024.1.8，官方提醒，修補必須透過完整安裝程式升級到已修補版本，升級期間系統會有停機時間。加拿大網路安全中心也發布通報，建議使用者與管理員檢視Progress公告並套用必要更新。