Podatność w Acronis Cyber Protect wynika z braku mechanizmu autoryzacji (CWE-862), co pozwala nieuwierzytelnionemu atakującemu na zdalne ujawnienie wrażliwych danych oraz ich manipulację. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — podatność jest trywialna do wykorzystania i nie wymaga żadnej interakcji użytkownika.
▸ Pokaż oryginał (EN)
Sensitive data disclosure and manipulation due to missing authorization. The following products are affected: Acronis Cyber Protect 16 (Linux, Windows) before build 39938, Acronis Cyber Protect 15 (Linux, Windows) before build 41800.
Brak wymaganych kontroli autoryzacji w komponentach Acronis Cyber Protect umożliwia dowolnemu atakującemu sieciowemu dostęp do chronionych zasobów lub operacji bez posiadania uprawnień. Atakujący może wysyłać żądania do podatnych punktów końcowych systemu bez uwierzytelnienia, uzyskując dostęp do danych lub możliwość ich modyfikacji. Podatność jest dostępna zdalnie przez sieć (AV:N), nie wymaga żadnych uprawnień (PR:N) ani interakcji ze strony użytkownika (UI:N), a jej wpływ wykracza poza granice samego systemu (S:C).
Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych przetwarzanych przez system backupu i ochrony (np. poświadczeń, konfiguracji, danych chronionych maszyn) oraz dokonać ich nieuprawnionej modyfikacji, co może prowadzić do naruszenia integralności kopii zapasowych i całkowitej utraty poufności danych.
Należy niezwłocznie zaktualizować Acronis Cyber Protect 16 do buildu 39938 lub nowszego oraz Acronis Cyber Protect 15 do buildu 41800 lub nowszego. Szczegóły dostępne w poradniku producenta: https://security-advisory.acronis.com/advisories/SEC-8766
Acronis Cyber Protect 16 (Linux, Windows) przed buildem 39938 oraz Acronis Cyber Protect 15 (Linux, Windows) przed buildem 41800.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HAcronis Cyber Protect
APPAcronis1516Linux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit