CRITICAL✓ PATCH🇬🇧 English

CVE-2025-30411

Acronis Cyber Protect — krytyczna luka uwierzytelnienia (CVSS 10.0)

CVSS 10.0v3.0pub. 2026-02-20upd. 2026-03-12

W produktach Acronis Cyber Protect 15 i 16 wykryto krytyczną podatność polegającą na nieprawidłowej weryfikacji tożsamości (improper authentication), sklasyfikowaną jako CWE-1390. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne ujawnienie i manipulację wrażliwymi danymi bez jakiejkolwiek interakcji użytkownika.

Pokaż oryginał (EN)

Sensitive data disclosure and manipulation due to improper authentication. The following products are affected: Acronis Cyber Protect 16 (Linux, Windows) before build 39938, Acronis Cyber Protect 15 (Linux, Windows) before build 41800.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej lub błędnie zaimplementowanej procedury uwierzytelnienia w Acronis Cyber Protect. Atakujący zdalnie, bez posiadania konta ani uprawnień, może ominąć mechanizmy kontroli dostępu. Skutkiem jest możliwość odczytu oraz modyfikacji chronionych danych przetwarzanych przez oprogramowanie. Wektor CVSS (AV:N/AC:L/PR:N/UI:N/S:C) wskazuje, że atak jest możliwy przez sieć, przy niskiej złożoności i bez żadnych wymagań wstępnych po stronie atakującego.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych (poufność) oraz je modyfikować (integralność), a także potencjalnie zakłócić dostępność systemu — wszystko to z poziomu sieci, bez żadnego uwierzytelnienia.

Mitygacja

Należy niezwłocznie zaktualizować Acronis Cyber Protect 16 do buildu 39938 lub nowszego oraz Acronis Cyber Protect 15 do buildu 41800 lub nowszego. Szczegóły dostępne w oficjalnym biuletynie producenta: https://security-advisory.acronis.com/advisories/SEC-8768

Kogo dotyczy

Acronis Cyber Protect 16 (Linux, Windows) w wersjach przed build 39938 oraz Acronis Cyber Protect 15 (Linux, Windows) w wersjach przed build 41800.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Acronis Cyber Protect

    APP
    Acronis
    1516
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit