Vulnérabilités dans plusieurs produits Acronis

Date de publication :

CVE-2021-44204[Score CVSS v3.1: 7.8]

Un contrôle insuffisant des accès peut permettre à un attaquant d’élever ses privilèges

CVE-2021-44205CVE-2021-44206[Score CVSS v3.1: 7.3]

Une protection insuffisante des DLL peut permettre à un attaquant de les détourner pour élever ses privilèges.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Élévation de privilèges

Criticité

    Score CVSS v3.1: 7.8 max

La faille est activement exploitée

    Non, pour l’ensemble des CVE présentés.

Un correctif existe

    Oui, pour l’ensemble des CVE présentés.

Une mesure de contournement existe

    Non, pour l’ensemble des CVE présentés.

Les vulnérabilités exploitées sont du type

Pour la CVE-2021-44204                               

Pour laCVE-2021-44205CVE-2021-44206

Détails sur l’exploitation

Pour la CVE-2021-44204

    Vecteur d’attaque : Local

    Complexité de l’attaque : Faible

    Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui

 

Pour laCVE-2021-44205CVE-2021-44206

    Vecteur d’attaque : Local

    Complexité de l’attaque : Faible

    Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui

 

Composants vulnérables.

Pour la CVE-2021-44204

    Acronis Cyber Protect 15 (Windows) avant le build 28035

    Acronis Agent (Windows) avant le build 27147

    Acronis Cyber Protect Home Office (Windows) avant le build 39612

    Acronis True Image 2021 (Windows) avant le build 39287

 

Pour laCVE-2021-44205CVE-2021-44206

    Acronis Cyber Protect Home Office (Windows) avant le build 39612

    Acronis True Image 2021 (Windows) avant le build 39287

Solutions ou recommandations

Pour la CVE-2021-44204

  • Pour Acronis True Image 2021, la mise à jour est disponible ici.
  • Pour Acronis Agent, la mise à jour est disponible ici.
  • Pour Cyber Protect Home Office, la mise à jour est disponible ici.
  • Pour Cyber Protect 15, la mise à jour est disponible ici.

Pour laCVE-2021-44205CVE-2021-44206

  • Pour Acronis Cyber Protect Home Office, la mise à jour est disponible ici.
  • Pour Acronis True Image 2021, la mise à jour est disponible ici.

Liens