CRITICAL✓ PATCH🇬🇧 English

CVE-2025-30416

Brak autoryzacji w Acronis Cyber Protect — ujawnienie i manipulacja danymi

CVSS 10.0v3.0pub. 2026-02-20upd. 2026-03-12

Podatność w Acronis Cyber Protect wynika z braku mechanizmu autoryzacji (CWE-862), co pozwala nieuwierzytelnionemu atakującemu na zdalne ujawnienie wrażliwych danych oraz ich manipulację. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — podatność jest trywialna do wykorzystania i nie wymaga żadnej interakcji użytkownika.

Pokaż oryginał (EN)

Sensitive data disclosure and manipulation due to missing authorization. The following products are affected: Acronis Cyber Protect 16 (Linux, Windows) before build 39938, Acronis Cyber Protect 15 (Linux, Windows) before build 41800.

🤖 Analiza AI
Jak działa

Brak wymaganych kontroli autoryzacji w komponentach Acronis Cyber Protect umożliwia dowolnemu atakującemu sieciowemu dostęp do chronionych zasobów lub operacji bez posiadania uprawnień. Atakujący może wysyłać żądania do podatnych punktów końcowych systemu bez uwierzytelnienia, uzyskując dostęp do danych lub możliwość ich modyfikacji. Podatność jest dostępna zdalnie przez sieć (AV:N), nie wymaga żadnych uprawnień (PR:N) ani interakcji ze strony użytkownika (UI:N), a jej wpływ wykracza poza granice samego systemu (S:C).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych przetwarzanych przez system backupu i ochrony (np. poświadczeń, konfiguracji, danych chronionych maszyn) oraz dokonać ich nieuprawnionej modyfikacji, co może prowadzić do naruszenia integralności kopii zapasowych i całkowitej utraty poufności danych.

Mitygacja

Należy niezwłocznie zaktualizować Acronis Cyber Protect 16 do buildu 39938 lub nowszego oraz Acronis Cyber Protect 15 do buildu 41800 lub nowszego. Szczegóły dostępne w poradniku producenta: https://security-advisory.acronis.com/advisories/SEC-8766

Kogo dotyczy

Acronis Cyber Protect 16 (Linux, Windows) przed buildem 39938 oraz Acronis Cyber Protect 15 (Linux, Windows) przed buildem 41800.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Acronis Cyber Protect

    APP
    Acronis
    1516
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit