Progress закрыла три критические уязвимости в MOVEit Transfer, включая XSS и утечку API-токенов

Progress MOVEit Automation

Компания Progress опубликовала внеочередной бюллетень безопасности, в котором сообщила о закрытии трёх уязвимостей в своём продукте MOVEit Transfer. Проблемы затрагивают практически все актуальные ветки файлового менеджера - от версии 2024.1.8 до 2026.0.0 включительно. Самая опасная из найденных брешей позволяет злоумышленнику с высокими привилегиями получить API-токены других пользователей системы.

Детали уязвимостей

Первая уязвимость (CVE-2026-11903, классификация CWE-79) относится к категории хранимых межсайтовых сценариев (Stored XSS) и локализована в модуле Ad Hoc. Как сообщил исследователь Mateusz Mieczkowski, обнаруживший проблему, аутентифицированный злоумышленник может отправить специально сформированное сообщение, которое приведёт к выполнению произвольного JavaScript-кода в браузере получателя. В случае успешной атаки это открывает возможности для перехвата сессии, кражи учётных данных и несанкционированного доступа к системе под видом жертвы.

Наибольшую опасность представляет уязвимость CVE-2026-10698, связанная с некорректной нейтрализацией специальных элементов в логике запросов данных (CWE-943). Речь идёт об обходе границ таблиц в модуле настраиваемых отчётов. Атакующий, обладающий высокими привилегиями (например, администратор), может выполнить отчёт таким образом, что он раскроет API-токены, принадлежащие другим пользователям MOVEit Transfer. Полученные токены позволяют в дальнейшем выдавать себя за других участников системы, включая, в потенциальной перспективе, суперадминистраторов.

Третья проблема - CVE-2026-10699 - носит характер отказа в обслуживании. Утечка памяти в SFTP-сервисе MOVEit Transfer способна привести к временной недоступности продукта при исчерпании ресурсов памяти на сервере. Хотя этот вектор атаки не ведёт к утечке данных напрямую, он может нарушить работу критически важных процессов обмена файлами, особенно в корпоративных средах, где MOVEit используется для автоматизированной передачи конфиденциальной информации.

Контекст для этой новости особенно значим с учётом предыдущих инцидентов, связанных с MOVEit Transfer. Напомним, что в 2023 году массовая эксплуатация уязвимости нулевого дня в этом продукте группировкой Clop привела к компрометации данных сотен организаций по всему миру. Хотя нынешние уязвимости не являются столь фатальными, хранимая XSS в сочетании с возможностью перехвата сессий и утечки API-токенов делает ситуацию серьёзной для клиентов, использующих продукт на собственных серверах.

"Уязвимость CVE-2026-10698 особенно опасна тем, что она позволяет атакующему, уже имеющему административный доступ к системе, эскалировать свои полномочия до уровня других учётных записей через их токены. Это может полностью нивелировать разграничение прав доступа внутри организации", - отмечается в бюллетене Progress.

В качестве исправления компания выпустила сборки MOVEit Transfer 2026.0.1 для ветки 18.0, 2025.1.4 для 17.1 и 2025.0.8 для 17.0. Для версий 2024.1.8 и более ранних требуется обновление до одной из поддерживаемых и исправленных сборок. Разработчики подчёркивают, что патч устанавливается только с помощью полного инсталлятора, и в процессе обновления будет наблюдаться простой системы.

Пользователям облачного сервиса MOVEit Cloud не требуется предпринимать никаких действий - среда уже обновлена до защищённой версии. Тем, кто развернул продукт локально, рекомендуется как можно скорее запланировать обновление, минимизировав окно уязвимости. Атаки на другие решения для управляемой передачи файлов (MFT) продолжают фиксироваться регулярно, и своевременная установка патчей остаётся единственной надёжной мерой защиты от эксплуатации подобных брешей.

Ссылки

Комментарии: 0