A desenvolvedora Progress publicou ontem um aviso sobre uma vulnerabilidade crítica no MOVEit Automation, que permite que um atacante ignore a autenticação e obtenha acesso não autorizado ao sistema. A falha, registrada como CVE-2026-4670 (detalhes de gravidade CVSS não informados), pode levar, conforme o comunicado publicado pela Progress, a controle administrativo e vazamento de dados.
Histórico de incidentes relacionados
Três anos atrás, uma vulnerabilidade em outra solução da empresa, o MOVEit Transfer, foi usada em ataques globais de ransomware. Segundo a empresa de segurança Emsisoft, a falha CVE-2023-34362 permitiu que invasores comprometessem servidores de mais de 2.700 organizações, resultando no roubo de dados de cerca de 96 milhões de pessoas. A lista de vítimas incluiu, de acordo com o artigo original, empresas como TomTom, TenneT, Shell, Siemens Energy, British Airways, Sony e CCleaner.
