W produktach Acronis Cyber Protect 15 i 16 wykryto krytyczną podatność polegającą na nieprawidłowej weryfikacji tożsamości (improper authentication), sklasyfikowaną jako CWE-1390. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne ujawnienie i manipulację wrażliwymi danymi bez jakiejkolwiek interakcji użytkownika.
▸ Pokaż oryginał (EN)
Sensitive data disclosure and manipulation due to improper authentication. The following products are affected: Acronis Cyber Protect 16 (Linux, Windows) before build 39938, Acronis Cyber Protect 15 (Linux, Windows) before build 41800.
Podatność wynika z niewystarczającej lub błędnie zaimplementowanej procedury uwierzytelnienia w Acronis Cyber Protect. Atakujący zdalnie, bez posiadania konta ani uprawnień, może ominąć mechanizmy kontroli dostępu. Skutkiem jest możliwość odczytu oraz modyfikacji chronionych danych przetwarzanych przez oprogramowanie. Wektor CVSS (AV:N/AC:L/PR:N/UI:N/S:C) wskazuje, że atak jest możliwy przez sieć, przy niskiej złożoności i bez żadnych wymagań wstępnych po stronie atakującego.
Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych (poufność) oraz je modyfikować (integralność), a także potencjalnie zakłócić dostępność systemu — wszystko to z poziomu sieci, bez żadnego uwierzytelnienia.
Należy niezwłocznie zaktualizować Acronis Cyber Protect 16 do buildu 39938 lub nowszego oraz Acronis Cyber Protect 15 do buildu 41800 lub nowszego. Szczegóły dostępne w oficjalnym biuletynie producenta: https://security-advisory.acronis.com/advisories/SEC-8768
Acronis Cyber Protect 16 (Linux, Windows) w wersjach przed build 39938 oraz Acronis Cyber Protect 15 (Linux, Windows) w wersjach przed build 41800.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HAcronis Cyber Protect
APPAcronis1516Linux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit