MOVEit Automation: Auth-Bypass CVE-2026-4670 mit CVSS 9.8

Wer File-Transfer hört, denkt sofort an die MOVEit-Massenpanne 2023. Jetzt steht der nächste Brocken im Kalender: am 30. April 2026 hat Progress Software CVE-2026-4670 veröffentlicht – einen Authentication-Bypass mit CVSS 9.8. Heißt: dein MOVEit-Server steht offen, sobald jemand die Lücke kennt.

HAMMER: 9.8er-Bewertung – höher geht kaum

Die offizielle Klassifizierung lautet „Authentication bypass by primary weakness“ (CWE-305). Das ist Behörden-Sprech für: der Login-Mechanismus hat eine Logik-Lücke, durch die du ohne gültige Credentials einfach durchspazierst. Kein Brute-Force, kein Phishing – einfach nur die richtige Anfrage an den falschen Endpunkt.

Die Bedingungen für einen Angriff sind brutal entspannt: keine Vorabauthentifizierung nötig, keine User-Interaktion, kein Insider-Zugang. Wer den Server übers Netz erreicht, kann angreifen.

SCHOCK: Diese Versionen sind verwundbar

MOVEit Automation 2025.0.0 bis vor 2025.0.9
MOVEit Automation 2024.0.0 bis vor 2024.1.8
Alle Versionen älter als 2024.0.0

Falls du noch auf einer 2023er-Linie hängst: Update jetzt. Die alten Branches bekommen längst keinen Patch mehr.

SO checkst du, ob du JETZT betroffen bist

Drei Schritte, die jeder Admin in 10 Minuten erledigen kann:

Im MOVEit-Webinterface unter „About“ die Versionsnummer ablesen.
Mit der Liste oben abgleichen – jede Version unterhalb der Patch-Schwelle ist verwundbar.
Wenn betroffen: sofort auf 2025.0.9 oder 2024.1.8 aktualisieren. Progress liefert den Patch über den normalen Update-Kanal aus.

EXTRA-TIPP: Patchpause? Dann SOFORT die Firewall hochziehen

Wenn du den Patch nicht in den nächsten Stunden installieren kannst (Wartungsfenster, Change-Approval, you name it), schließ dein MOVEit per Firewall-Regel von der öffentlichen IP weg. Nur der Reverse-Proxy oder das interne Netz dürfen drauf, der Rest sieht eine 403. Das ist eine Stop-Gap-Maßnahme, kein Fix – aber besser als nichts.

WICHTIG: Aktive Angriffe? Noch nicht – aber das war 2023 auch so

Stand jetzt sind keine bekannten aktiven Exploits in der freien Wildbahn dokumentiert. Bei MOVEit Transfer 2023 sah es 48 Stunden vor dem Cl0p-Massaker genauso aus. Wer also denkt „läuft schon noch ein paar Tage“, könnte sich böse irren.

Progress hat im April-Bulletin parallel mehrere weitere MOVEit-WAF-Lücken gepatcht (CVE-2026-3517, -3518, -3519, -4048, -21876). Wenn du am MOVEit-Bestand hängst, prüf gleich den ganzen Block, nicht nur die 4670.

FAZIT: Heute Patch oder Stecker ziehen

Die Lücke ist kritisch genug, um nicht aufs Wochenende zu warten. File-Transfer-Server sind das Sahnestückchen für jede Ransomware-Crew, weil dort die fettesten PII-Datensätze von Banken, Behörden und Krankenhäusern liegen. Patch heute, oder mach den Server unerreichbar.

Häufige Fragen

Welche MOVEit-Versionen sind konkret betroffen?

Alle MOVEit-Automation-Versionen 2025.0.0 vor 2025.0.9, 2024.0.0 vor 2024.1.8 und sämtliche Versionen vor 2024.0.0. Die Patches stehen über den regulären Update-Kanal von Progress bereit. Ältere Linien (2023.x) bekommen keinen Fix mehr – wer dort steht, muss die Major-Linie wechseln.

Wie merke ich, ob mein System verwundbar ist?

Im MOVEit-Webinterface unter „Help → About“ steht die genaue Versionsnummer. Liegt sie unterhalb der genannten Patch-Schwellen, bist du verwundbar. Ein zweiter Hinweis: wenn dein Vendor-Newsletter den April-2026-Bulletin von Progress erwähnt und du noch nichts gepatcht hast, gilt: kritisch. Der CVE-Eintrag bei NVD listet zudem CPE-Strings für automatisierte Scanner.

Wie behebe ich das Problem konkret?

Update auf MOVEit Automation 2025.0.9 (für die 2025er-Linie) oder 2024.1.8 (für die 2024er-Linie). Beide Patches stehen seit dem 30. April 2026 zur Verfügung. Bevor du updatest, ein Snapshot oder Backup ziehen, dann den Update-Wizard durchlaufen. Wenn du nicht sofort patchen kannst, MOVEit per Firewall vom öffentlichen Internet trennen, bis das Update sitzt.

Gab es schon aktive Angriffe?

Bislang sind keine aktiven Exploits in der freien Wildbahn bekannt. Bei der MOVEit-Transfer-Lücke 2023 hat die Cl0p-Gang zwischen Disclosure und Massenangriff allerdings nur wenige Tage gewartet. File-Transfer-Server sind ein klassisches Ziel für Datendiebstahl-Crews – also Patch nicht aufschieben.

MOVEIT-ALARM! 9.8er-Lücke kippt JEDES File-Transfer-Tor – Hacker brauchen NULL Login!