Udp
Уязвимости
16
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.63643
Распределение по критичности
Критический
8
Высокий
6
Средний
2
Низкий
0
Затронутые диапазоны версий
9–9.2< 5.0< 6.5< 7.0< 9.2≤ 9.0.6034≤ 9.2
Также сопоставлено как (исходные строки): udp
Топ уязвимостей
CVE-2024-0799В Arcserve Unified Data Protection 9.2 и 8.1 в функции edge-app-base-webui.jar!com.ca.arcserve.edge.app.base.ui.server.EdgeLoginServiceImpl.doLogin() в wizardLogin существует уязвимость обхода аутентификации.
CVE-2023-42000Arcserve UDP до версии 9.2 содержит уязвимость обхода пути в com.ca.arcflash.ui.server.servlet.FileHandlingServlet.doUpload(). Не прошедший аутентификацию удаленный злоумышленник может использовать ее для загрузки произвольных файлов в любое место в файловой системе, где установлен агент UDP.
CVE-2023-41999В Arcserve UDP до версии 9.2 существует обход аутентификации. Не прошедший аутентификацию удаленный злоумышленник может получить действительный идентификатор аутентификации, который позволит ему пройти аутентификацию в консоли управления и выполнять задачи, требующие аутентификации.
CVE-2023-41998Arcserve UDP до версии 9.2 содержал уязвимость в интерфейсе com.ca.arcflash.rps.webservice.RPSService4CPMImpl. Существует подпрограмма, которая позволяет злоумышленнику загружать и выполнять произвольные файлы.
CVE-2023-26258Arcserve UDP до версии 9.0.6034 допускает обход аутентификации. Метод getVersionInfo в WebServiceImpl/services/FlashServiceImpl раскрывает токен AuthUUID. Этот токен можно использовать в /WebServiceImpl/services/VirtualStandbyServiceImpl для получения действительного сеанса. Этот сеанс можно использовать для выполнения любой задачи от имени администратора.
CVE-2025-34523В Arcserve Unified Data Protection (UDP) существует уязвимость переполнения буфера в куче в процедурах обработки входных данных, доступных через сеть. Этот недостаток доступен без аутентификации и возникает из-за неправильной проверки границ при обработке входных данных, контролируемых злоумышленником. Отправка специально сформированных данных позволяет удаленному злоумышленнику повредить память кучи, что потенциально может привести к отказу в обслуживании или выполнению произвольного кода в зависимости от расположения памяти и используемых методов эксплуатации. Эта уязвимость аналогична по своей природе CVE-2025-34522, но затрагивает отдельный путь кода или компонент. Для эксплуатации не требуется взаимодействие с пользователем, и она происходит в контексте уязвимого процесса. Эта уязвимость затрагивает все версии UDP до 10.2. UDP 10.2 включает необходимые исправления и не требует дополнительных действий. Версии от 8.0 до 10.1 поддерживаются и требуют либо применения патчей, либо обновления до версии 10.2. Версии 7.x и более ранние не поддерживаются или находятся вне обслуживания и должны быть обновлены до версии 10.2 для устранения проблемы [1].
Источники:
- [1] https://support.arcserve.com/s/article/Important-Security-Bulletin-Must-read-for-all-Arcserve-UDP-customers-on-all-versions
CVE-2025-34522В логике разбора входных данных Arcserve Unified Data Protection (UDP) существует уязвимость переполнения буфера в куче. Этот недостаток может быть спровоцирован без аутентификации путем отправки специально сформированных входных данных в целевую систему. Неправильная проверка границ позволяет злоумышленнику перезаписать память кучи, что потенциально может привести к сбоям в работе приложения или выполнению произвольного кода. Эксплуатация происходит в контексте затронутого процесса и не требует взаимодействия с пользователем. Уязвимость представляет высокий риск из-за своей природы, не требующей предварительной аутентификации, и потенциальной возможности полной компрометации. Эта уязвимость затрагивает все версии UDP до 10.2. UDP 10.2 включает необходимые исправления и не требует дополнительных действий. Версии от 8.0 до 10.1 поддерживаются и требуют либо применения патчей, либо обновления до версии 10.2. Версии 7.x и более ранние не поддерживаются или находятся вне режима обслуживания, поэтому для устранения проблемы необходимо обновить их до версии 10.2. Сведения об устранении данной уязвимости можно найти в соответствующем бюллетене безопасности [1].
Источники:
- [1] https://support.arcserve.com/s/article/Important-Security-Bulletin-Must-read-for-all-Arcserve-UDP-customers-on-all-versions
CVE-2015-4068Уязвимость обхода каталогов в Arcserve UDP до версии 5.0 Update 4 позволяет удаленным злоумышленникам получать конфиденциальную информацию или вызывать отказ в обслуживании через специально созданный путь к файлу в сервлете (1) reportFileServlet или (2) exportServlet.
CVE-2024-0800В Arcserve Unified Data Protection 9.2 и 8.1 в edge-app-base-webui.jar!com.ca.arcserve.edge.app.base.ui.server.servlet.ImportNodeServlet существует уязвимость обхода пути.
CVE-2025-34520Уязвимость обхода аутентификации в Arcserve Unified Data Protection (UDP) позволяет неаутентифицированным злоумышленникам получить неавторизованный доступ к защищённой функциональности или учётным записям пользователей. Манипулируя определёнными параметрами запроса или эксплуатируя логический недостаток, злоумышленник может обойти механизмы входа без действительных учётных данных и получить доступ к функциям уровня администратора. Эта уязвимость затрагивает все версии UDP до 10.2. UDP 10.2 включает необходимые исправления и не требует никаких действий. Версии от 8.0 до 10.1 поддерживаются и требуют либо применения патчей, либо обновления до версии 10.2. Версии 7.x и более ранние не поддерживаются или находятся вне обслуживания и должны быть обновлены до версии 10.2 для устранения проблемы [1].
Источники:
- [1] https://support.arcserve.com/s/article/Important-Security-Bulletin-Must-read-for-all-Arcserve-UDP-customers-on-all-versions
CVE-2024-0801В Arcserve Unified Data Protection 9.2 и 8.1 в ASNative.dll существует уязвимость типа «отказ в обслуживании».
CVE-2018-18659Обнаружена проблема в Arcserve Unified Data Protection (UDP) до версии 6.5 Update 4. Существует DDI-VRT-2018-19 Не прошедший проверку подлинности XXE в проблеме /management/UdpHttpService.
CVE-2018-18658Обнаружена проблема в Arcserve Unified Data Protection (UDP) до версии 6.5 Update 4. Существует DDI-VRT-2018-20 Не прошедшее проверку подлинности раскрытие конфиденциальной информации через проблему /UDPUpdates/Config/FullUpdateSettings.xml.
CVE-2018-18657Обнаружена проблема в Arcserve Unified Data Protection (UDP) до версии 6.5 Update 4. Существует DDI-VRT-2018-18 Не прошедшее проверку подлинности раскрытие конфиденциальной информации через проблему /gateway/services/EdgeServiceImpl.
CVE-2018-18660Обнаружена проблема в Arcserve Unified Data Protection (UDP) до версии 6.5 Update 4. Существует DDI-VRT-2018-21 Отраженный межсайтовый скриптинг через проблему /authenticationendpoint/domain.jsp.
CVE-2025-34521В веб-интерфейсе Arcserve Unified Data Protection (UDP) существует уязвимость отражённого межсайтового скриптинга (XSS), когда неочищенный пользовательский ввод некорректно отражается в HTTP-ответах. Этот недостаток позволяет удалённым злоумышленникам с низкими привилегиями создавать вредоносные ссылки, которые при посещении другим пользователем выполняют произвольный JavaScript в браузере жертвы. Успешная эксплуатация может привести к перехватыванию сессии, краже учётных данных или другим последствиям на стороне клиента. Уязвимость требует взаимодействия с пользователем и происходит в общем контексте браузера. Эта уязвимость затрагивает все версии UDP до 10.2. UDP 10.2 включает необходимые исправления и не требует никаких действий. Версии от 8.0 до 10.1 поддерживаются и требуют либо применения патчей, либо обновления до версии 10.2. Версии 7.x и более ранние не поддерживаются или находятся вне обслуживания и должны быть обновлены до версии 10.2 для устранения проблемы [1].
Источники:
- [1] https://support.arcserve.com/s/article/Important-Security-Bulletin-Must-read-for-all-Arcserve-UDP-customers-on-all-versions