Progress hat zwei schwerwiegende Sicherheitslücken in MOVEit WAF veröffentlicht, die als CVE-2025-13444 und CVE-2025-13447 geführt werden. Beide Schwachstellen ermöglichen über die Weboberfläche oder API eine Command Injection und können in der Folge zu Remote Code Execution führen.
CVE-2025-13444 betrifft die Funktion getcipherset, während CVE-2025-13447 mehrere weitere UI- und API-Funktionen wie addapikey, delapikey, delcert, dmidecode, listapikeys und ssodomain umfasst. Nach Angaben des Herstellers liegen bislang keine Hinweise auf eine aktive Ausnutzung vor, dennoch wird ein hohes Risiko angenommen.
Seit dem 12. Januar 2026 steht ein Sicherheitsupdate für MOVEit WAF bereit. Verwundbar ist die Version 7.2.62.1, behoben wurde das Problem in Version 7.2.62.2. Die Fixes werden zudem in alle zukünftigen Versionen integriert.
Administratoren wird dringend empfohlen, die Updates zeitnah einzuspielen und zusätzlich die vom Hersteller empfohlenen Security-Hardening-Maßnahmen umzusetzen, um das Risiko einer möglichen Kompromittierung zu minimieren.
