CRITICAL✓ PATCH🇬🇧 English

CVE-2026-28710

Ujawnienie danych i manipulacja przez nieprawidłowe uwierzytelnianie w Acronis Cyber Protect 17

CVSS 9.8v3.1pub. 2026-03-06upd. 2026-03-12

Podatność w Acronis Cyber Protect 17 (Linux i Windows) umożliwia nieuprawniony dostęp do wrażliwych informacji oraz ich modyfikację z powodu nieprawidłowej implementacji mechanizmu uwierzytelniania. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z możliwości przeprowadzenia ataku zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.

Pokaż oryginał (EN)

Sensitive information disclosure and manipulation due to improper authentication. The following products are affected: Acronis Cyber Protect 17 (Linux, Windows) before build 41186.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-1390 (Improper Authentication) oznacza, że mechanizm weryfikacji tożsamości w aplikacji jest wadliwie zaimplementowany lub w określonych przypadkach pomijany. Atakujący może wysyłać odpowiednio spreparowane żądania sieciowe bez podawania prawidłowych danych uwierzytelniających i mimo to uzyskiwać dostęp do chronionych zasobów lub wykonywać niedozwolone operacje. Wektor ataku jest sieciowy, a atak nie wymaga żadnych szczególnych warunków ani uprawnień po stronie atakującego.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych przetwarzanych przez Acronis Cyber Protect oraz dokonywać ich nieuprawnionej modyfikacji, co zagraża poufności, integralności i dostępności chronionych zasobów.

Mitygacja

Należy zaktualizować Acronis Cyber Protect 17 do buildu 41186 lub nowszego. Szczegółowe informacje dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem: https://security-advisory.acronis.com/advisories/SEC-9137

Kogo dotyczy

Acronis Cyber Protect 17 na systemach Linux i Windows w wersjach przed buildem 41186.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Acronis Cyber Protect

    APP
    Acronis
    < 17.0.41186
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit