漏洞概述 标题: MOVEit Transfer Critical Security Bulletin – June 2026 (CVE-2026-10699, CVE-2026-10698, CVE-2026-11903) 描述: - CVE-2026-11903: 存储型XSS漏洞,允许攻击者通过发送特制消息在接收者浏览器中执行JavaScript代码。 - CVE-2026-10698: 表作用域绕过漏洞,允许高权限攻击者执行可能泄露API令牌的自定义报告。 - CVE-2026-10699: SFTP内存泄漏,可能导致拒绝服务。 影响范围 受影响版本: - MOVEit Transfer: 2024.1.8 及更早版本 - MOVEit Transfer: 2025.0.0 - 2025.0.7 - MOVEit Transfer: 2025.1.0 - 2025.1.3 - MOVEit Transfer: 2026.0.0 修复方案 解决方案: - 升级到以下版本之一: - MOVEit Transfer 2026.0.1 - MOVEit Transfer 2025.1.4 - MOVEit Transfer 2025.0.8 - 对于MOVEit Cloud用户,环境已自动更新到补丁版本,无需进一步操作。 其他信息 发现者: Mateusz Mieczkowski 更新日期: 2026年7月8日 联系支持: 如需技术支持,请登录并打开新的技术支持案例。 免责声明 网站信息仅供参考,Progress Software Corporation不对信息的准确性、完整性或适用性做任何明示或暗示的保证。 相关链接 产品生命周期政策: 链接 FAQ关于Progress Alert Notification Services (PANS): 链接 文件 无文件上传。 环境 最后修改日期: 2026年7月8日 2:04 PM 缺陷编号 未提供具体缺陷编号。 --- 注意: 页面中未包含POC代码或利用代码。