Risques
- Exécution de code arbitraire
- Falsification de requêtes côté serveur (SSRF)
- Non spécifié par l'éditeur
Systèmes affectés
- MOVEit Transfer versions 2024.1.x antérieures à 2024.1.8
- MOVEit Transfer versions 2025.0.x antérieures à 2025.0.4
- MOVEit Transfer versions 2025.x antérieures à 2025.1
Résumé
De multiples vulnérabilités ont été découvertes dans Progress MOVEit Transfer. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une falsification de requêtes côté serveur (SSRF) et un problème de sécurité non spécifié par l'éditeur.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Progress Fixed-Issues-in-2024.1.8 du 15 novembre 2025 https://docs.progress.com/bundle/moveit-transfer-release-notes-2024/page/Fixed-Issues-in-2024.1.8.html
- Bulletin de sécurité Progress Fixed-Issues-in-2025.0.4 du 18 novembre 2025 https://docs.progress.com/bundle/moveit-transfer-release-notes-2025/page/Fixed-Issues-in-2025.0.4.html
- Bulletin de sécurité Progress Fixed-Issues-in-2025.1 du 20 novembre 2025 https://docs.progress.com/bundle/moveit-transfer-release-notes-2025_1/page/Fixed-Issues-in-2025.1.html
- Référence CVE CVE-2025-11001 https://www.cve.org/CVERecord?id=CVE-2025-11001
- Référence CVE CVE-2025-11002 https://www.cve.org/CVERecord?id=CVE-2025-11002
- Référence CVE CVE-2025-13147 https://www.cve.org/CVERecord?id=CVE-2025-13147
