[TLP:CLEAR] Acronis Snap Deploy, Cyber Protect Cloud Agent a Home Office (Windows) opravujú 7 zraniteľností

Acronis Cyber Protect Cloud Agent (Windows) - privilege escalation (CVE-2025-24828, CVE-2025-24827 , CVE-2025-24829, CVE-2025-24830) CVSS 6.3 (Medium)

Autentizovanému lokálnemu útočníkovi je v Cyber Protect Cloud Agent umožnené zvýšiť svoje oprávnenia pomocou techniky DLL hijacking [1][2][3][4].

Zraniteľnosť sa nachádza v produkte Acronis Cyber Protect Cloud Agent (Windows) vo verziách <C25.01.

CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 30. 1. 2025.

Acronis Cyber Protect Cloud Agent a Home Office - privilege escalation (Windows) (CVE-2023-48677) CVSS 7.3 (High)

Autentizovanému lokálnemu útočníkovi je v Cyber Protect Cloud Agent a Home Office umožnené zvýšiť svoje oprávnenia pomocou techniky DLL hijacking [5]

Zraniteľnosť sa nachádza v produktoch:

  • Acronis Cyber Protect Cloud Agent (Windows) vo verziách <C25.01
  • Acronis Cyber Protect Home Office (Windows) vo verziách <build40901

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 30. 1. 2025.

Acronis Cyber Protect Cloud Agent (Windows) - privilege escalation (CVE-2025-24831) CVSS 6.6 (Medium)

Autentizovanému lokálnemu útočníkovi je v Cyber Protect Cloud Agent umožnené zvyšovať svoje oprávnenia zadaním špeciálne vytvoreného vyhľadávania [6].

Zraniteľnosť sa nachádza v produkte Acronis Cyber Protect Cloud Agent (Windows) vo verziách <C25.01.

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 30. 1. 2025.

Acronis Snap Deploy (Windows) - privilege escalation (CVE-2025-24826) CVSS 6.7 (Medium)

Autentizovanému lokálnemu útočníkovi je v Snap Deploy umožnené zvýšiť svoje oprávnenia kvôli nesprávnemu nastaveniu prístupu v priečinku [7].

Zraniteľnosť sa nachádza v produkte Acronis Snap Deploy (Windows) vo verziách <build4625.

CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 28. 1. 2025.


Za CESNET-CERTS Martin Krajči dňa 6. 2. 2025.

CESNET CERTS Logo