[TLP:CLEAR] Acronis opravuje 5 zranitelností ve svých produktech
Acronis opravuje 5 zranitelností v produktech Acronis Cyber Protect 16 a Acronis Cyber Protect Cloud Agent. Opravené verze naleznete u jednotlivých zranitelností [1][2][3][4][5].
Neautentizovanému vzdálenému útočníkovi je kvůli nesprávnému zpracování chybného vstupu v produktu Acronis Cyber Protect Cloud Agent umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktu Acronis Cyber Protect Cloud Agent ve verzích <build40077.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-30415 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1286: Improper Validation of Syntactic Correctness of Input at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 6. 2025.
Autentizovanému lokálnímu útočníkovi je kvůli nezabezpečeným oprávněním složky v produktu Acronis Cyber Protect 16 umožněno zvýšit svá oprávnění [2].
Zranitelnost se nachází v produktu Acronis Cyber Protect 16 ve verzích <build39938.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-48961 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-732: Incorrect Permission Assignment for Critical Resource at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 6. 2025.
Autentizovanému lokálnímu útočníkovi je kvůli nezabezpečeným oprávněním složky v produktu Acronis Cyber Protect Cloud Agent umožněno zvýšit svá oprávnění [3].
Zranitelnost se nachází v produktu Acronis Cyber Protect Cloud Agent ve verzích <build40077.
CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-48959 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-276: Incorrect Default Permissions at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 6. 2025.
Neautentizovanému útočníkovi v lokální síti je kvůli slabému serverovému klíči použitému pro TLS šifrování v produktu Acronis Cyber Protect 16 umožněno dešifrovat data [4].
Zranitelnost se nachází v produktu Acronis Cyber Protect 16 ve verzích <build39938.
CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N
Více informací:
- CVE-2025-48960 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-326: Inadequate Encryption Strength at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 6. 2025.
Autentizovanému vzdálenému útočníkovi je v produktu Acronis Cyber Protect 16 umožněno vykonat SSRF útok a zpřístupnit citlivé informace [5].
Zranitelnost se nachází v produktu Acronis Cyber Protect 16 ve verzích <build39938.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Více informací:
- CVE-2025-48962 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 6. 2025.
Odkazy
- [1] https://security-advisory.acronis.com/advisories/SEC-8646
- [2] https://security-advisory.acronis.com/advisories/SEC-8000
- [3] https://security-advisory.acronis.com/advisories/SEC-8133
- [4] https://security-advisory.acronis.com/advisories/SEC-6403
- [5] https://security-advisory.acronis.com/advisories/SEC-8514
Za CESNET-CERTS Michaela Jarošová dne 6. 6. 2025.
