-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Progress MOVEit Transfer Advisory ID : NCSC-2026-0226 Versie : 1.00 Kans : medium CVE ID : CVE-2026-10698, CVE-2026-10699, CVE-2026-11903 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Missing Release of Memory after Effective Lifetime Improper Neutralization Improper Neutralization of Special Elements in Data Query Logic Uitgiftedatum : 20260713 Toepassing : Progress MOVEit Transfer Versie(s) : Platform(s) : Beschrijving Progress heeft kwetsbaarheden verholpen in MOVEit Transfer, specifiek in de Custom Reports modules en de Ad Hoc module. De kwetsbaarheden betreffen meerdere versies van MOVEit Transfer, waaronder 25.0.0 tot en met 25.0.7, 25.1.0 tot en met 25.1.3, en 26.0.0 tot net voor 26.0.1. Eén kwetsbaarheid in de Custom Reports modules betreft een onjuiste neutralisatie van speciale elementen binnen data query logica, waardoor queryparameters gemanipuleerd kunnen worden wat kan leiden tot ongeautoriseerde data toegang of corruptie. Daarnaast is er een geheugenrelease-kwetsbaarheid in dezelfde modules die te maken heeft met de levensduur van geheugen, wat kan resulteren in onjuiste geheugenbeheer. Verder is er een cross-site scripting (XSS) kwetsbaarheid in de Ad Hoc module, veroorzaakt door onjuiste inputneutralisatie, waardoor kwaadaardige scripts kunnen worden geïnjecteerd en uitgevoerd binnen de context van de applicatie. Mogelijke oplossingen Progress heeft updates uitgebracht voor MOVEit Transfer om deze kwetsbaarheden te verhelpen, waaronder versies 25.0.8, 25.1.4 en 26.0.1. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://community.progress.com/s/article/MOVEit-Transfer-Critical- Security-Bulletin-June-2026 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmpUoJsACgkQgupWoL0Z hGGMpgv/YeMU4Z/cARCNLWiGdsRb+AoQDi39CVtwX+kJKleCfIvciPfaa/aSUY21 uGXfrWTyHE+hv7OK8etlpAT9UFk4qWT9ceAvCxTb+tv+I49EqNy2/wx3nMe9f+rS QDjIgXf0khGJPEOkBj33c2Kljq0sNyRw7SGeBW/Fe4wDUsAgahPZV8l1hdi9ITxd hg5FBGC4hDYGmy8WDDxFNIHCdfJNRvuNxymT20gfgVCjlnAE3M7h2XHLjASfyLvn y5PX5UZPpYiZEAddxFwdQlwp7IRKSrV2x9AsetVGPfqApV7awdoc4WS9gq0eBtk0 vFEE4E2Z8MRYENPTclpiGIMLiIm+wQUoVAYDv5JVnRY1WeAxwHPbArVLCZWLHcGe 2QpwVmsssxu8QA1NSjsTwnTDz4MF4Bt0+C3VktySkdr0bgN1pUOrhGiVRR6VUKLn aydLz9t1gMw65fuZPVNMsEVnzs8lJG8E0b0mi9hV+jMP2kAimNGrGIVON6IsFRM5 Sx51379Z =L7DZ -----END PGP SIGNATURE-----