概要
CVE-2026-28725は、Acronis Cyber Protect 17 (LinuxおよびWindows版) において、ヘッドレスブラウザの設定不備に起因する機密情報漏えいの脆弱性として報告されています。この脆弱性が悪用された場合、システム内の機密情報が外部に漏えいする可能性があります。
影響範囲
以下の製品およびバージョンが本脆弱性の影響を受けると報告されています。
- 製品: Acronis Cyber Protect 17
- 対象OS: Linux版、Windows版
- 対象バージョン: build 41186より前のバージョン
想定される影響
本脆弱性が悪用された場合、ヘッドレスブラウザの設定不備を通じて、システム内部の機密情報が不正に開示される可能性があります。具体的にどのような情報が漏えいする可能性があるかについては詳細が不明ですが、システム設定情報やユーザー関連情報などが含まれる可能性も考えられます。
攻撃成立条件・悪用状況
本脆弱性の攻撃成立条件は、ヘッドレスブラウザの設定不備を悪用することとされていますが、具体的な攻撃手法については現時点では詳細が公開されていません。また、本脆弱性の具体的な悪用事例は、現在のところ報告されていません。
推奨対策
今すぐできる対策(優先度:高)
- 製品のアップデート: Acronis Cyber Protect 17 を、脆弱性が修正された最新のビルド(build 41186以降)に速やかにアップデートしてください。これは最も効果的かつ推奨される対策です。
中長期的な対策
- セキュリティ設定の見直し: システム全体のセキュリティ設定、特に外部との通信を行うコンポーネントの設定について定期的に見直しを実施し、最小権限の原則に基づいた運用を徹底してください。
- 脆弱性情報の継続的な収集: 今後も新たな脆弱性情報が公開される可能性を考慮し、ベンダーからの情報やセキュリティアドバイザリを継続的に確認し、適切な対策を講じる体制を維持してください。
一時的な緩和策
現時点では、本脆弱性に対する具体的な一時的な緩和策は報告されていません。速やかな製品のアップデートが最も推奨される対策となります。
確認方法
現在ご利用中のAcronis Cyber Protect 17のバージョンを確認し、それがbuild 41186より前のバージョンであるかどうかを確認してください。製品の管理画面や設定情報からバージョン情報を確認できる場合があります。