Podatność w pluginach Acronis Backup dla paneli cPanel & WHM, Plesk oraz DirectAdmin (Linux) polega na przyznaniu zbędnych uprawnień procesom, co prowadzi do ujawnienia wrażliwych danych i możliwości ich manipulacji. Wysoki wynik CVSS 9.9 wskazuje na krytyczne zagrożenie dla serwerów hostingowych z zainstalowanymi rozszerzeniami.
▸ Pokaż oryginał (EN)
Sensitive data disclosure and manipulation due to unnecessary privileges assignment. The following products are affected: Acronis Backup plugin for cPanel & WHM (Linux) before build 619, Acronis Backup extension for Plesk (Linux) before build 555, Acronis Backup plugin for DirectAdmin (Linux) before build 147.
Problem wynika z nieprawidłowego przypisania uprawnień (CWE-250 — Execution with Unnecessary Privileges), przez co komponenty pluginu działają z nadmiarowymi uprawnieniami systemowymi. Uwierzytelniony atakujący zdalnie może wykorzystać te uprawnienia do uzyskania dostępu do wrażliwych danych lub ich modyfikacji. Wektor ataku sieciowy przy niskiej złożoności i braku wymaganej interakcji użytkownika sprawia, że exploitacja jest stosunkowo prosta. Zmieniony zakres (Scope: Changed) wskazuje, że skutki mogą wykraczać poza bezpośrednio podatny komponent.
Atakujący z podstawowym poziomem uwierzytelnienia może ujawnić wrażliwe dane lub je zmodyfikować, a także potencjalnie zaburzyć dostępność systemu, co w środowiskach hostingowych może prowadzić do naruszenia danych wielu klientów.
Należy zaktualizować: Acronis Backup plugin for cPanel & WHM (Linux) do build 619 lub nowszego, Acronis Backup extension for Plesk (Linux) do build 555 lub nowszego, Acronis Backup plugin for DirectAdmin (Linux) do build 147 lub nowszego. Szczegóły dostępne w poradniku producenta: https://security-advisory.acronis.com/advisories/SEC-4976
Acronis Backup plugin for cPanel & WHM (Linux) przed build 619, Acronis Backup extension for Plesk (Linux) przed build 555, Acronis Backup plugin for DirectAdmin (Linux) przed build 147.
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H