Acronisの小規模環境向けバックアップ製品に複数の脆弱性

Acronisが提供するコンシューマーや小規模事業者向けバックアップ製品「Acronis Cyber Protect Home Office」に複数の脆弱性が明らかとなった。

Windows版にあわせて6件の脆弱性が明らかとなったもの。具体的には、フォルダ権限の取り扱いに問題があり、権限の昇格が生じるおそれがある「CVE-2022-44732」「CVE-2022-44733」が判明した。

さらにソフトリンクの取り扱いに問題がある「CVE-2022-44747」や、意図しないライブラリファイルを読み込む「CVE-2022-44744」など、権限の昇格が生じる脆弱性が明らかとなっている。

同社は、共通脆弱性評価システム「CVSSv3」のベーススコアについて「CVE-2022-44732」「CVE-2022-44733」のいずれも「7.3」とし、重要度を上から2番目にあたる「高（High）」とした。他脆弱性についてはCVSS基本値を「4.0」以下と評価している。

一方NVDでは、CVSS基本値について「CVE-2022-44732」「CVE-2022-44733」「CVE-2022-44747」を「7.8」とし、「CVE-2022-44744」を「7.3」と評価。重要度をいずれも「高（High）」とレーティングしている。

「CVE-2022-44732」「CVE-2022-44733」については「ビルド39900」にて修正。のこる4件については、「ビルド40107」にて解消しており、同バージョン以降へ更新するよう利用者へ呼びかけている。

（Security NEXT - 2022/11/16 ） ツイート

PR

関連記事

米当局、脆弱性悪用リストに「Oracle EBS」など5件追加
「WatchGuard Firebox」の深刻な脆弱性、PoC公開で悪用リスク上昇
整体サロン店舗端末から顧客情報が流出した可能性
講座申込ページで設定ミス、申込者情報が流出 - 横須賀市
作業服通販サイトに不正アクセス - 2024年に判明、新サイトへ移行
グループ会社サーバから個人情報が流出 - 茨城県の人材サービス会社
「Spring Cloud Gateway Server Webflux」に情報漏洩の脆弱性
機械学習フレームワーク「Keras」に深刻な脆弱性 - 8月の更新で修正
一部従業員情報がグループ内で閲覧可能に、BIツールで設定ミス - デンソー
個人情報含むファイルを第三者へメール誤送信 - 森林総合研究所