Progress Software发布企业文件传输自动化工具MOVEit Automation安全公告，修复两个影响企业文件传输自动化流程的漏洞，分别为CVE-2026-4670与CVE-2026-5174。前者为严重等级的身份验证绕过漏洞，后者为高风险等级的权限提升漏洞。若被利用，攻击者可能获得未授权访问权限，进一步威胁系统管理控制与数据安全。

MOVEit Automation的CVE-2026-4670漏洞可能被利用绕过身份验证流程。根据NVD数据，Progress Software作为CNA给出的CVSS 3.1评分为9.8分，攻击条件包括可通过网络发起、攻击复杂度低，且无需现有权限或用户交互。

CVE-2026-5174是由于输入验证不当导致的权限提升漏洞。NVD数据显示，该漏洞同样可通过网络利用，攻击复杂度低且无需用户交互，但需要低权限账户作为前提。Progress Software给出的CVSS 3.1评分为7.7分，NIST NVD评分为8.8分，两者均属高风险等级。

CVE-2026-4670影响MOVEit Automation 2025.0.0至2025.0.8、2024.0.0至2024.1.7，以及2024.0.0之前版本；CVE-2026-5174还涵盖2025.1分支，包括2025.1.0至2025.1.4、2025.0.0至2025.0.8、2024.0.0至2024.1.7，以及2024.0.0之前版本。

Progress Software已发布修复版本，官方修复版本为MOVEit Automation 2025.1.5、2025.0.9与2024.1.8。官方提醒，必须通过完整安装程序升级至已修复版本，升级过程中系统将停机。加拿大网络安全中心也发布安全通告，建议用户和管理员查阅Progress官方公告并及时应用更新。