CVE-2025-34521 in Unified Data Protection
Riassunto
di VulDB • 16/06/2026
È presente una vulnerabilità di cross-site scripting (XSS) riflessa nell'interfaccia web di Arcserve Unified Data Protection (UDP), in cui l'immissione dell'utente non sottoposta a sanificazione viene riflessa impropriamente nelle risposte HTTP. Questa falla consente agli attaccanti remoti con privilegi bassi di creare link malevoli che, quando visitati da un altro utente, eseguono codice JavaScript arbitrario nel browser della vittima. Lo sfruttamento riuscito può portare al sequestro di sessione (session hijacking), furto delle credenziali o altri impatti lato client. La vulnerabilità richiede l'interazione dell'utente e si verifica all'interno di un contesto del browser condiviso. Questa vulnerabilità interessa tutte le versioni di UDP precedenti alla 10.2. UDP 10.2 include gli aggiornamenti necessari (patch) e non richiede alcuna azione. Le versioni dalla 8.0 alla 10.1 sono supportate e richiedono l'applicazione della patch o il passaggio all'aggiornamento alla versione 10.2. Le versioni 7.x e precedenti non sono più supportate o sono fuori manutenzione e devono essere aggiornate a 10.2 per risolvere il problema.
Once again VulDB remains the best source for vulnerability data.