Un avis officiel publié le 21 mai 2026 signale la découverte de multiples vulnérabilités dans le logiciel Progress MOVEit Automation. Ce produit, utilisé pour l'automatisation des transferts de fichiers en environnement professionnel, est désormais la cible de plusieurs failles de sécurité dont la gravité reste partiellement à déterminer.
Vulnérabilités et risques identifiés
Selon les informations diffusées par les autorités, les vulnérabilités, répertoriées sous les identifiants CVE-2026-8485, CVE-2026-8486, CVE-2026-8487 et CVE-2026-8488, permettent à un attaquant de provoquer un déni de service à distance, de contourner la politique de sécurité du logiciel, et d'exploiter un problème de sécurité non spécifié par l'éditeur. Aucun détail technique supplémentaire n'a été communiqué à ce stade, mais le caractère non spécifié suggère un risque potentiel d'exécution de code ou d'élévation de privilèges, sans confirmation officielle.
Versions concernées et correctifs disponibles
Les versions affectées par ces failles sont les suivantes :
- MOVEit Automation versions 2025.1.x antérieures à la version 2025.1.7
- MOVEit Automation versions antérieures à la version 2025.0.11
L'éditeur Progress a publié un bulletin de sécurité le 18 mai 2026, accompagné de correctifs destinés à résoudre ces vulnérabilités. Les utilisateurs et administrateurs de la solution sont invités à appliquer ces mises à jour sans délai afin de limiter les risques d'exploitation.
Contexte et recommandations
Progress MOVEit Automation est largement déployé dans les entreprises pour automatiser des tâches critiques de transfert de données. Par le passé, d'autres produits de la gamme MOVEit ont été la cible d'attaques de grande ampleur, notamment via des vulnérabilités ayant conduit à des intrusions et des ransomwares. Bien que les autorités n'aient pas signalé d'exploitation active de ces nouvelles failles, le précédent historique incite à la plus grande vigilance.
Les autorités de cybersécurité recommandent de se référer au bulletin de sécurité de l'éditeur pour obtenir les correctifs et de vérifier que les systèmes en production sont bien mis à jour. Il est également conseillé de renforcer la surveillance des logs et de limiter l'exposition réseau des instances MOVEit Automation dans l'attente de l'application des correctifs.
