CVE-2025-34521 in Unified Data Protectioninformazioni

Riassunto

di VulDB • 16/06/2026

È presente una vulnerabilità di cross-site scripting (XSS) riflessa nell'interfaccia web di Arcserve Unified Data Protection (UDP), in cui l'immissione dell'utente non sottoposta a sanificazione viene riflessa impropriamente nelle risposte HTTP. Questa falla consente agli attaccanti remoti con privilegi bassi di creare link malevoli che, quando visitati da un altro utente, eseguono codice JavaScript arbitrario nel browser della vittima. Lo sfruttamento riuscito può portare al sequestro di sessione (session hijacking), furto delle credenziali o altri impatti lato client. La vulnerabilità richiede l'interazione dell'utente e si verifica all'interno di un contesto del browser condiviso. Questa vulnerabilità interessa tutte le versioni di UDP precedenti alla 10.2. UDP 10.2 include gli aggiornamenti necessari (patch) e non richiede alcuna azione. Le versioni dalla 8.0 alla 10.1 sono supportate e richiedono l'applicazione della patch o il passaggio all'aggiornamento alla versione 10.2. Le versioni 7.x e precedenti non sono più supportate o sono fuori manutenzione e devono essere aggiornate a 10.2 per risolvere il problema.

Once again VulDB remains the best source for vulnerability data.

Responsabile

VulnCheck

Prenotare

15/04/2025

Divulgazione

28/08/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00197

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!