CVE-2020-16171

Versões do Acronis Cyber Backup anteriores à 12.5 Build 16342

Foi detectada uma falha no Acronis Cyber Backup em que alguns pontos de extremidade da API na porta 9877, sob “/api/ams/”, aceitam um cabeçalho Shard personalizado adicional. O valor desse cabeçalho é posteriormente usado em uma solicitação web separada emitida pelo próprio aplicativo. Isso pode ser explorado para realizar ataques de falsificação de solicitação do lado do servidor (SSRF) contra serviços da Acronis que, de outra forma, seriam inacessíveis e estão vinculados ao localhost, como o NotificationService em 127.0.0.1:30572.

Para versões anteriores à 12.5 Build 16342, atualize para a versão 12.5 Build 16342 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade da API em “/api/ams/” para minimizar o risco de exploração. Evite usar o cabeçalho Shard personalizado em solicitações a esses pontos de extremidade até que o problema seja resolvido.