漏洞标题
N/A
漏洞描述信息
在Acronis Cyber Backup 12.5 Build 16342之前发现了一个问题。在/api/ams/端口9877下的一些API端点可以接受额外的自定义Shard头。这个头的数值后来被应用程序自身 issuing 的单独的Web请求使用。这可能会被滥用,对连接到本地主机的无法访问的Acronis服务(如127.0.0.1:30572)进行SSRF攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in Acronis Cyber Backup before 12.5 Build 16342. Some API endpoints on port 9877 under /api/ams/ accept an additional custom Shard header. The value of this header is afterwards used in a separate web request issued by the application itself. This can be abused to conduct SSRF attacks against otherwise unreachable Acronis services that are bound to localhost such as the NotificationService on 127.0.0.1:30572.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Acronis Cyber Backup 代码问题漏洞
漏洞描述信息
Acronis Cyber Backup是新加坡安克诺斯(Acronis)的一款数据备份产品。可以对虚拟机和主机进行备份,支持windows、linux的备份,使用AcronisInstantRestore提供极快的恢复性能,并且支持灵活的存储方案,极大保障企业的数据安全。 Acronis Cyber Backup 中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
CVSS信息
N/A
漏洞类别
代码问题