Progress hat eine schwerwiegende Sicherheitslücke (CVE-2025-10932) in allen Versionen seiner MOVEit-Transfer-Software bekannt gegeben. Die Schwachstelle betrifft das AS2-Modul und wird mit einem CVSS-Score von 8.2 (hoch) bewertet. Ursache ist eine Uncontrolled Resource Consumption (CWE-400), die Angreifern ermöglichen kann, durch gezielte Anfragen Systemressourcen übermäßig zu beanspruchen und so den Dienst zu stören oder lahmzulegen.
Betroffen sind alle Versionen von MOVEit Transfer vor den Releases 2025.0.3, 2024.1.7 und 2023.1.16. Kunden der Cloud-Variante sind bereits automatisch geschützt.
Progress stellt Hotfixes bereit, die eine IP-Whitelist für das AS2-Modul einführen. Nutzer, die AS2 nicht aktiv verwenden, sollten die betroffenen Dateien (AS2Rec2.ashx und AS2Receiver.aspx) vorübergehend aus dem Verzeichnis C:\MOVEitTransfer\wwwroot entfernen.
Administratoren sollten die entsprechenden Updates umgehend über das Progress Download Center installieren, um das Risiko eines Denial-of-Service-Angriffs zu minimieren.
