Podatność w Acronis Cyber Protect 17 (Linux i Windows) umożliwia nieuprawniony dostęp do wrażliwych informacji oraz ich modyfikację z powodu nieprawidłowej implementacji mechanizmu uwierzytelniania. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z możliwości przeprowadzenia ataku zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.
▸ Pokaż oryginał (EN)
Sensitive information disclosure and manipulation due to improper authentication. The following products are affected: Acronis Cyber Protect 17 (Linux, Windows) before build 41186.
Błąd sklasyfikowany jako CWE-1390 (Improper Authentication) oznacza, że mechanizm weryfikacji tożsamości w aplikacji jest wadliwie zaimplementowany lub w określonych przypadkach pomijany. Atakujący może wysyłać odpowiednio spreparowane żądania sieciowe bez podawania prawidłowych danych uwierzytelniających i mimo to uzyskiwać dostęp do chronionych zasobów lub wykonywać niedozwolone operacje. Wektor ataku jest sieciowy, a atak nie wymaga żadnych szczególnych warunków ani uprawnień po stronie atakującego.
Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych przetwarzanych przez Acronis Cyber Protect oraz dokonywać ich nieuprawnionej modyfikacji, co zagraża poufności, integralności i dostępności chronionych zasobów.
Należy zaktualizować Acronis Cyber Protect 17 do buildu 41186 lub nowszego. Szczegółowe informacje dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem: https://security-advisory.acronis.com/advisories/SEC-9137
Acronis Cyber Protect 17 na systemach Linux i Windows w wersjach przed buildem 41186.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAcronis Cyber Protect
APPAcronis< 17.0.41186Linux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit