CRITICAL✓ PATCH🇬🇧 English

CVE-2025-30412

Acronis Cyber Protect — ujawnienie i manipulacja danych przez błąd uwierzytelniania

CVSS 10.0v3.0pub. 2026-02-20upd. 2026-03-12

Podatność w Acronis Cyber Protect wynika z nieprawidłowej weryfikacji uwierzytelniania (CWE-1390), co umożliwia nieautoryzowanym atakującym dostęp do poufnych danych oraz ich modyfikację. Podatność otrzymała maksymalną ocenę CVSS 10.0, co klasyfikuje ją jako krytyczną.

Pokaż oryginał (EN)

Sensitive data disclosure and manipulation due to improper authentication. The following products are affected: Acronis Cyber Protect 16 (Linux, Windows) before build 39938, Acronis Cyber Protect 15 (Linux, Windows) before build 41800.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej implementacji mechanizmu uwierzytelniania w produkcie Acronis Cyber Protect. Atakujący zdalny, bez posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika, może ominąć wymagane kontrole tożsamości. W efekcie uzyskuje nieautoryzowany dostęp do chronionych zasobów systemu oraz możliwość ich modyfikacji, a zakres ataku wykracza poza bezpośrednio podatny komponent (Scope: Changed).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przetwarzanych przez system backupu i ochrony (pełna poufność, integralność oraz dostępność zagrożone na poziomie krytycznym), a także dokonywać ich manipulacji lub zakłócić działanie chronionych środowisk.

Mitygacja

Należy jak najszybciej zaktualizować Acronis Cyber Protect 16 do buildu 39938 lub nowszego oraz Acronis Cyber Protect 15 do buildu 41800 lub nowszego. Szczegółowe informacje dostępne są w oficjalnym biuletynie producenta: https://security-advisory.acronis.com/advisories/SEC-8598

Kogo dotyczy

Acronis Cyber Protect 16 (Linux, Windows) w buildach poprzedzających 39938 oraz Acronis Cyber Protect 15 (Linux, Windows) w buildach poprzedzających 41800.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Acronis Cyber Protect

    APP
    Acronis
    1516
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit