MOVEit 又來了：CVSS 9.8 預認證繞過 + 權限提升，5 月 4 日剛修補

如果你的資安行事曆裡，「MOVEit」還因為 2023 年的事被標成紅色，那把螢光筆再拿出來。2026 年 5 月 4 日，Progress Software 緊急釋出兩個 MOVEit Automation 漏洞修補，由 Airbus SecLab 研究員揭露。主洞 CVE-2026-4670 是 CVSS 9.8 的預認證繞過，發生在服務後端命令連接埠上；伴隨的 CVE-2026-5174 是 CVSS 7.7 的輸入驗證瑕疵，可在已驗證的前提下提升權限。兩者合起來，就是讓一個遠端、未經驗證的攻擊者拿到 MOVEit Automation 2024.x 與 2025.x 的管理員權限。

目前還沒有野外利用通報。但 2023 年 5 月的同一個時間點，也沒有。cl0p 勒索集團在揭露後四週把 MOVEit Transfer 工業化，幾個月內打趴包括美國聯邦機構在內的幾百家組織。當年「等下個維護視窗再說」的客戶，學到了一堂非常昂貴的課。這週的算術完全一樣。

為什麼 CVE-2026-4670 是教科書級案例

它同時打中四個核心防禦支柱。

輸入驗證。 之所以能繞過，是因為後端命令連接埠上的某一個參數被信任、而不是被驗證。OWASP 老掉牙那條規則——「對每個輸入、每一次都在伺服器端對白名單做驗證」——只在一個地方違反了，但那一個地方守的剛好是大門。

身分驗證與授權。 這個 bug 不只是繞過一道檢查，它是把檢查整個拿掉。「預認證」意味著攻擊者不需要偽造 session、洩漏 token、釣魚帳密——他直接走進來。然後 CVE-2026-5174 把一個低權限身分翻成管理員。「縱深防禦」如果只剩名字，那你不是層層防禦，是層層劇場。

開源與第三方套件安全。 MOVEit Automation 不是開源，但它在你 stack 裡的角色跟 vendor 進來的開源元件沒兩樣——一個會碰你 AD、檔案分享、SMTP、S3 的封裝二進位。把每一個閉源企業元件當成第三方套件處理：版本鎖定、訂閱它的 CVE feed、寫好「修補或隔離」的決策樹。

CIA（機密、完整、可用）。 預認證的管理員接管，三項都是 1：攻擊者讀你的資料、改你的資料、能讓你的服務癱瘓。CVE-2026-4670 不存在「只是部分中招」這個情境。

未來 24 小時的具體動作

修補。 把每一台 MOVEit Automation 主機升到 2025.1.5、2025.0.9 或 2024.1.8。只支援完整安裝程式那條路，不要自己手動 hot fix。

在網路邊界擋掉後端命令連接埠。 它本來就不該對網際網路可達。如果可達，先把它限制到管理 VLAN，再開始打補丁。

回頭找揭露前的活動跡象。 把 MOVEit Automation 的日誌拉回到 4 月中。重點看：對後端命令連接埠的未認證請求、異常的工作建立、新冒出來的管理員帳號。

這週審視你自己 PHP / Laravel 後端裡所有「相信請求」的呼叫點。 任何接收參數後拿去查 session、查租戶、查權限的地方，都藏著一個還沒被找到的 CVE-2026-4670 形狀的 bug。驗證、白名單、預設你的邊界是敵境。

我的觀點

真正有意思的不是「MOVEit 又破了一次」——一個有 20 年程式碼基礎的軟體永遠還會多一個預認證洞。真正有意思的是這次跟上週 LiteLLM 事件的對比：LiteLLM 揭露後 36 小時就遭野外利用。這次是 Airbus SecLab 私下揭露、Progress 在公開前先修補，防禦方有先發優勢。用掉它。六月會中招的團隊，是把這週的 advisory 當成週二的一封信、而不是週二的一場應變的那群人。

MOVEit 又來了：CVSS 9.8 預認證繞過 + 權限提升，5 月 4 日剛修補

為什麼 CVE-2026-4670 是教科書級案例

未來 24 小時的具體動作

我的觀點

資料來源