Kritiska sårbarheter i Arcserve UDP

Två kritiska sårbarheter har identifierats i mjukvaran Arcserve Unified Data Protection (UDP). [1]

CVE-2025-34522 är en heap-baserad buffertöverskridning som kan utnyttjas av en oautentiserad angripare för fjärrkörning av kod, eller att tjänsten kraschar. [2]

CVE-2025-34523 är en separat sårbarhet, även denna heap-baserad buffertöverskridning och som kan utnyttjas utan autentisering, med motsvarande konsekvenser. [3]

Båda sårbarheterna bedöms som kritiska. Vulncheck har klassificerat båda som 9.2 enligt CVSS 4.0. [2] [3]

För Arcserve 8.0 till 10.1 finns säkerhetsuppdatering tillgänglig. Även version 7.x och tidigare är sårbara, men är inte längre suporterade. [2] [3]

Påverkade produkter

• Arcserve UDP, innan version 10.2

Rekommendationer

CERT-SE rekommenderar att så snart som möjligt uppdatera sårbara produkter enligt leverantörens anvisningar.

Källor

[1] https://support.arcserve.com/s/article/P00003546

[2] https://nvd.nist.gov/vuln/detail/CVE-2025-34522

[3] https://nvd.nist.gov/vuln/detail/CVE-2025-34523