Vulnérabilités dans Acronis True Image

Date de publication :

CVE-2021-32577 [Score CVSS v3 : 7.8 ]
Une vulnérabilité pouvant permettre à un attaquant local d’élever ses privilèges sur Acronis True Image sur Windows. Cette faille est due à un manque de restriction sur les permissions de certains fichiers.

CVE-2021-32579 [Score CVSS v3 : 7.8 ]
Une vulnérabilité sur Acronis True Image. Un attaquant distant et ayant la permission d’exécuter du code à faible privilèges peut potentiellement falsifier l’API de micro-service.

CVE-2021-32581 [Score CVSS v3 : 8.1 ]
Une vulnérabilité dans Acronis True Image. La validation des certificats SSL est inexistante. Un attaquant distant et non-authentifié peut exploiter cette vulnérabilité afin de s’authentifier de façon illégitime.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Elévation de privilèges
  • Contournement d'authentification 
  • Violation des politiques de sécurité

Criticité

  • Scores CVSS v3 : 8.1 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • Acronis True Image 2021 sur Windows sans l’update 5
  • Acronis True Image 2021 sur MacOS sans l’update 5

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour le logiciel impacté conformément aux instructions de l’éditeur Acronis.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.