[TLP:CLEAR] Acronis opravuje 24 zranitelností
Acronis opravuje 24 zranitelností v produktech Acronis Cyber Protect 17 a Acronis Cyber Protect Cloud Agent. Nejzávažnější zranitelnosti jsou popsány níže, zbylé naleznete na [1] po rozkliknutí jednotlivých varování. Opravené verze naleznete v odkazech u jednotlivých zranitelností.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné autentizaci v produktu Acronis Cyber Protect 17 umožněno získat citlivé informace a manipulovat s nimi [2].
Zranitelnost se nachází v produktu Acronis Cyber Protect 17 (Linux, Windows) ve verzích < build 41186.
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-28710 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1390: Weak Authentication at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 3. 2026.
Autentizovanému lokálnímu útočníkovi je kvůli nezabezpečeným oprávněním Unix socketu produktech v Acronis Cyber Protect 17 a Acronis Cyber Protect Cloud Agent umožněno eskalovat svá oprávnění [3]
Zranitelnost se nachází v produktech:
- Acronis Cyber Protect 17 (macOS) ve verzích < build 41186
- Acronis Cyber Protect Cloud Agent (macOS) ve verzích < build 41124
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-28727 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-276: Incorrect Default Permissions at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 3. 2026.
Autentizovanému lokálnímu útočníkovi je kvůli nesprávnému zpracování symbolických odkazů v produktu Acronis Cyber Protect 17 umožněno eskalovat svá oprávnění [4][5].
Zranitelnost se nachází v produktu Acronis Cyber Protect 17 (Windows) ve verzích < build 41186.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-28721 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-28722 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-610: Externally Controlled Reference to a Resource in Another Sphere at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 3. 2026.
Autentizovanému lokálnímu útočníkovi je kvůli zranitelnosti typu DLL hijacking v produktu Acronis Cyber Protect Cloud Agent umožněno eskalovat svá oprávnění [6].
Zranitelnost se nachází v produktu Acronis Cyber Protect Cloud Agent (Windows) ve verzích < build 41124.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-11792 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-427: Uncontrolled Search Path Element at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 3. 2026.
Odkazy
- [1] https://security-advisory.acronis.com/advisories?page=1&sort=-published%20-cvss%20-id
- [2] https://security-advisory.acronis.com/advisories/SEC-9137
- [3] https://security-advisory.acronis.com/advisories/SEC-9408
- [4] https://security-advisory.acronis.com/advisories/SEC-8445
- [5] https://security-advisory.acronis.com/advisories/SEC-8481
- [6] https://security-advisory.acronis.com/advisories/SEC-9439
Za CESNET-CERTS Michaela Jarošová dne 9. 3. 2026.
