Progress Software 修正了MOVEit WAF和 LoadMaster的一系列高風險漏洞，其中包括一個可能允許攻擊者繞過防火牆偵測的漏洞 (CVE-2026-21876)。

MOVEit WAF（網路應用程式防火牆）旨在保護Progress的託管檔案傳輸平台MOVEit Transfer免受基於Web的攻擊。 （ 2023年，臭名昭著的Cl0p網路勒索集團利用MOVEit Transfer中的一個零日漏洞，竊取了數百個組織的資料。）LoadMaster 是該公司的通用企業應用程式交付控制器和負載平衡器，也內建了 Web 應用防火牆。

兩種解決方案修復的漏洞包括：

✔  四個作業系統命令注入漏洞（CVE-2026-3517、CVE-2026-3518、CVE-2026-3519 和 CVE-2026-4048）可能導致已認證的攻擊者遠端執行程式碼。

✔  OWASP核心規則集（CRS）中存在一個漏洞（CVE-2026-21876），該規則集是大多數Web應用程式防火牆使用的一組通用攻擊偵測規則。該漏洞允許遠端、未經身份驗證的攻擊者透過發送精心建構的HTTP多部分請求（其中包含編碼的惡意載荷）來繞過WAF的偵測。

CVE-2026-21876 於 2026 年 1 月初由一位名為 Daytrift Newgen 的安全研究員發現，OWASP CRS 團隊隨後在 CRS 版本 4.22.0 和 CRS 3.3.8 中修復了該漏洞。

CRS 團隊指出： “該漏洞表明 WAF 規則開發的複雜性，以及在使用鍊式規則和集合變量時理解引擎微妙行為的重要性”，並表示該漏洞“一旦被發現，就很容易利用”。CVE-2026-21876 的 PoC 漏洞利用程序現已公開。

Progress Software 修復了以下所有五個漏洞：

✔  Progress MOVEit WAF v7.2.63.0

✔  Progress Kemp LoadMaster v7.2.63.1

✔  Progress Kemp LoadMaster LTSF v7.2.54.17

✔  Progress ECS 連接管理器 v7.2.63.1

✔  ObjectScale 的 Progress 連線管理器 v7.2.63.1

該公司表示，他們尚未收到有關這些漏洞被利用的報告，但仍「強烈建議」客戶升級到已修復的解決方案版本。

Progress 指出：“MOVEit Cloud 已經升級到已修復的版本，因此 MOVEit Cloud 用戶無需採取任何進一步行動。”

資料來源：https://www.helpnetsecurity.com/2026/04/22/progress-waf-bypass-cve-2026-21876/