{ "document" : { "aggregate_severity" : { "text" : "mittel" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Acronis Cyber Backup (Ehemals Acronis Backup) ist eine Software zur Datensicherung und -wiederherstellung.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein lokaler Angreifer kann mehrere Schwachstellen in unterschiedlichen Acronis Cyber Backup Plugins ausnutzen, um Dateien zu manipulieren oder vertrauliche Informationen offenzulegen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Sonstiges\n- Windows", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2024-3400 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-3400.json" }, { "category" : "self", "summary" : "WID-SEC-2024-3400 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-3400" }, { "category" : "external", "summary" : "Acronis Security Advisory vom 2024-11-11", "url" : "https://security-advisory.acronis.com/SEC-7592" }, { "category" : "external", "summary" : "Acronis Security Advisory vom 2024-11-11", "url" : "https://security-advisory.acronis.com/SEC-7601" } ], "source_lang" : "en-US", "title" : "Acronis Cyber Backup Plugins: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2024-11-11T23:00:00.000+00:00", "generator" : { "date" : "2024-11-12T11:11:26.992+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.8" } }, "id" : "WID-SEC-W-2024-3400", "initial_release_date" : "2024-11-11T23:00:00.000+00:00", "revision_history" : [ { "date" : "2024-11-11T23:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "Acronis Cyber Backup plugin for cPanel & WHM <1.8.3", "product" : { "name" : "Acronis Cyber Backup plugin for cPanel & WHM <1.8.3", "product_id" : "T038906", "product_identification_helper" : { "cpe" : "cpe:/a:acronis:cyber_backup:plugin_for_cpanel__whm__1.8.3" } } }, { "category" : "product_name", "name" : "Acronis Cyber Backup plugin for cPanel & WHM 1.8.3", "product" : { "name" : "Acronis Cyber Backup plugin for cPanel & WHM 1.8.3", "product_id" : "T038906-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:acronis:cyber_backup:plugin_for_cpanel__whm__1.8.3" } } }, { "category" : "product_version_range", "name" : "plugin for Plesk <1.8.6", "product" : { "name" : "Acronis Cyber Backup plugin for Plesk <1.8.6", "product_id" : "T038907" } }, { "category" : "product_version", "name" : "plugin for Plesk 1.8.6", "product" : { "name" : "Acronis Cyber Backup plugin for Plesk 1.8.6", "product_id" : "T038907-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:acronis:cyber_backup:plugin_for_plesk__1.8.6" } } }, { "category" : "product_version_range", "name" : "plugin for DirectAdmin <1.2.2", "product" : { "name" : "Acronis Cyber Backup plugin for DirectAdmin <1.2.2", "product_id" : "T038908" } }, { "category" : "product_version", "name" : "plugin for DirectAdmin 1.2.2", "product" : { "name" : "Acronis Cyber Backup plugin for DirectAdmin 1.2.2", "product_id" : "T038908-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:acronis:cyber_backup:plugin_for_directadmin__1.2.2" } } } ], "category" : "product_name", "name" : "Cyber Backup" } ], "category" : "vendor", "name" : "Acronis" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-34014", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in Acronis Cyber Backup. Dieser Fehler existiert in den Plugins für cPanel & WHM, Plesk und DirectAdmin-Komponenten aufgrund einer unsachgemäßen Behandlung von symbolischen Links während des Wiederherstellungsprozesses, wodurch beliebige Dateien überschrieben werden können. Ein lokaler Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren." } ], "product_status" : { "known_affected" : [ "T038907", "T038906", "T038908" ] }, "release_date" : "2024-11-11T23:00:00.000+00:00", "title" : "CVE-2024-34014" }, { "cve" : "CVE-2024-34015", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle im Acronis Backup Plugin für cPanel & WHM. Dieser Fehler existiert aufgrund einer unsachgemäßen Behandlung von symbolischen Links während des Durchsuchens von Dateien in der Dateizugriffskomponente, was die unberechtigte Offenlegung von Dateinamen ermöglicht. Ein lokaler Angreifer kann diese Schwachstelle ausnutzen, indem er einen symbolischen Link in seinem Home-Verzeichnis erstellt und Dateien über das Plugin durchsucht, wodurch er Dateinamen in Verzeichnissen anzeigen kann." } ], "product_status" : { "known_affected" : [ "T038906" ] }, "release_date" : "2024-11-11T23:00:00.000+00:00", "title" : "CVE-2024-34015" } ] }