MOVEit nel mirino: patch urgenti per falle ad alta gravità in LoadMaster e WAF

Il 12 gennaio 2026, Progress Software Corporation ha rilasciato patch che risolvono due vulnerabilità di Command Injection di elevata gravità , che potrebbero consentire ad aggressori remoti di eseguire codice dannoso sui bilanciatori di carico LoadMaster e sui Web Application Firewall (WAF) MOVEit.

Le vulnerabilità sono presenti sia nell’interfaccia utente (UI) che nell’interfaccia di programmazione delle applicazioni (API) dei prodotti coinvolti. Un aggressore, inviando richieste opportunamente strutturate verso endpoint specifici, potrebbe eseguire comandi di sistema arbitrari.

Si tratta dei bug catalogati come CVE-2025-13444 e CVE-2025-13447, i quali presentano un punteggio CVSS di 8,4, e denotando un’elevata minaccia per le organizzazioni che utilizzano questi strumenti per garantire la sicurezza e la distribuzione delle applicazioni.

Se sfruttate, queste vulnerabilità di tipo “UI/API Command Injection Remote Code Execution” potrebbero garantire a un aggressore il controllo completo dell’appliance. Progress ha riportato : “Tutti i sistemi vulnerabili dovrebbero comunque essere adeguatamente aggiornati per evitare lo sfruttamento di queste vulnerabilità”. Inoltre ha aggiunto “Non abbiamo ricevuto segnalazioni di sfruttamento di queste vulnerabilità e non siamo a conoscenza di alcun impatto operativo diretto sui clienti”.

L’aggiornamento di sicurezza copre un’ampia gamma di distribuzioni, tra cui appliance LoadMaster standard, firmware di supporto a lungo termine (LTSF) e ambienti multi-tenant.

Si invitano gli amministratori ad aggiornare immediatamente alle seguenti versioni:

• LoadMaster GA: aggiornamento alla versione 7.2.62.2 (corregge la versione 7.2.62.0 e precedenti).
• LoadMaster LTSF: aggiornamento alla versione 7.2.54.16 (corregge la versione 7.2.54.15 e precedenti).
• Hypervisor multi-tenant: aggiornamento alla versione 7.1.35.15 (corregge la versione 7.1.35.11 e precedenti).
• MOVEit WAF: aggiornamento alla versione 7.2.62.2 (corregge la versione 7.2.62.1).

Per le organizzazioni che utilizzano LoadMaster Multi-Tenant (LoadMaster MT), il processo di patching richiede un approccio in due fasi.

L’avviso evidenzia una distinzione specifica nel modo in cui i componenti vengono interessati: “L’hypervisor MT o il nodo Manager è vulnerabile a CVE-2025-13444 (solo) e deve essere patchato utilizzando l’aggiornamento sopra elencato il prima possibile”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks