Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ejecución de código arbitrario en Acronis Cyber ​​Infrastructure

Fecha de publicación 01/08/2024
Identificador
INCIBE-2024-0380
Importancia
5 - Crítica
Recursos Afectados

Acronis Cyber ​​Infrastructure, versiones anteriores a:

  • 5.0.1-61;
  • 5.1.1-71;
  • 5.2.1-69;
  • 5.3.1-53;
  • 5.4.4-132.
Descripción

Acronis ha publicado una vulnerabilidad de severidad crítica que está siendo explotada activamente y podría provocar una ejecución de código arbitrario.

Solución

Actualizar las versiones afectadas:

  • la 5.4, actualización 4.2,
  • la 5.2, actualización 1.3, 
  • la 5.3, actualización 1.3, 
  • la 5.0, actualización 1.4,
  • la 5.1, actualización 1.2.
Detalle

La compañía afectada ha afirmado que la vulnerabilidad de severidad crítica está siendo explotada, ya que el problema se debe al uso de contraseñas predeterminadas. Esto podría derivar en ejecución remota de comandos, y como consecuencia, en filtraciones de datos, interrupciones de servicios y posibles pérdidas financieras. 

Se ha asignado el identificador CVE-2023-45249 para esta vulnerabilidad.