Progress phát hành bản vá cho nhiều lỗ hổng nghiêm trọng trên MOVEit WAF và LoadMaster

Progress Software vừa phát hành các bản vá khẩn cấp để khắc phục nhiều lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến MOVEit WAF và LoadMaster. Các khiếm khuyết này có thể bị kẻ tấn công khai thác để thực thi mã từ xa (RCE), tiêm lệnh hệ điều hành và vượt qua cơ chế phát hiện của tường lửa.

Mã nguồn và phát triển phần mềm

Trong số các lỗi được phát hiện, hai lỗ hổng được đánh dấu là CVE-2026-3517 và CVE-2026-3519 ảnh hưởng đến các API trong sản phẩm Progress ADC. Những lỗi này cho phép những người dùng có quyền "Geo Administration" và "VS Administration" thực thi các lệnh tùy ý trên thiết bị LoadMaster.

Nguyên nhân sâu xa của vấn đề nằm ở việc các lệnh "addcountry" và "aclcontrol" không thực hiện việc làm sạch (sanitize) đầu vào của người người dùng một cách thích hợp.

Một vấn đề khác, được theo dõi dưới mã định danh CVE-2026-3518, cũng ảnh hưởng đến API trong LoadMaster của sản phẩm ADC. Lỗi này có thể bị kẻ tấn công đã xác thực và có quyền "All" khai thác. Vấn đề phát sinh do lệnh "killsession" cho phép các dữ liệu đầu vào chưa được làm sạch đi qua hệ thống.

Bảo mật mạng

Lỗi bảo mật thứ tư, CVE-2026-4048, ảnh hưởng đến giao diện người dùng (UI) của các sản phẩm Progress ADC. Một kẻ tấn công đã xác thực với quyền "All" có thể chèn mã vào tệp quy tắc WAF tùy chỉnh, dẫn đến việc thực thi lệnh do quá trình xử lý tải lên tệp không làm sạch đầu vào đúng cách.

Ngoài ra, Progress cũng công bố bản sửa lỗi cho CVE-2026-21876, một vấn đề vượt qua chính sách tường lửa trong bộ quy tắc dùng để gắn cờ các bộ ký tự không chuẩn được sử dụng trong các tiêu đề yêu cầu HTTP multipart.

Logic bị lỗi dẫn đến việc xác thực bộ ký tự chỉ được áp dụng cho tiêu đề loại nội dung (content type) multipart cuối cùng, ngay cả khi ứng dụng lặp qua tất cả các tiêu đề trong yêu cầu.

"Lỗ hổng này cho phép một yêu cầu multipart được tạo đặc biệt chứa một tải độc hại đã được mã hóa có thể vượt qua sự phát hiện của WAF," Progress giải thích.

Việc khai thác thành công các khiếm khuyết này có thể cho phép những kẻ tấn công đã xác thực thực thi các lệnh và mã tùy ý trên các thiết bị LoadMaster và MOVEit WAF.

Progress đã vá các lỗi này trong MOVEit WAF phiên bản 7.2.63.0, LoadMaster GA phiên bản 7.2.63.1, LoadMaster LTSF phiên bản 7.2.54.17, ECS Connection Manager phiên bản 7.2.63.1 và Connection Manager cho ObjectScale phiên bản 7.2.63.1.

Công ty cho biết họ chưa nhận được báo cáo nào về việc các lỗ hổng này bị khai thác trong thực tế, nhưng vẫn khuyến khích khách hàng cập nhật các triển khai của mình càng sớm càng tốt để đảm bảo an toàn.