Veeam opravuje viaceré kritické zraniteľnosti produktu Backup & Replication

Spoločnosť Veeam vydala bezpečnostné aktualizácie zálohovacieho riešenia Backup & Replication, ktoré opravujú 7 zraniteľností, z čoho 5 je označených ako kritické. Vzdialenému autentifikovanému útočníkovi umožňujú vykonávanie kódu, obídenie bezpečnostných prvkov a manipuláciu so súbormi, eskaláciu privilégií a získanie prihlasovacích údajov.

Zraniteľné systémy:

• Veeam Backup & Replication 12.3.2.4165 a staršie verzie 12.x.x.x
• Veeam Backup & Replication 13.0.1.1071 a staršie verzie 13.x.x.x

Opis činnosti:

CVE-2026-21666, CVE-2026-21667, CVE-2026-21669 (CVSS skóre 9,9)

Kritické zraniteľnosti komponentu Backup Server umožňujú autentifikovanému doménovému používateľovi vzdialene vykonávať kód.

CVE-2026-21668 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť komponentu Backup Repository umožňuje autentifikovanému doménovému používateľovi obísť zabezpečenie a manipulovať s ľubovoľnými súbormi.

CVE-2026-21670 (CVSS skóre 7,7)

Vysoko závažná zraniteľnosť umožňujúca útočníkovi s nízkymi oprávneniami získať prihlasovacie údaje k SSH.

CVE-2026-21671 (CVSS skóre 9,1)

Kritická zraniteľnosť inštancií Backup & Replication s vysokou dostupnosťou (HA) umožňuje autentifikovanému doménovému používateľovi s oprávneniami Backup Administrator vzdialene vykonávať kód.

CVE-2026-21672 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť Windowsových serverov Backup & Replication umožňuje lokálnemu útočníkovi navýšenie oprávnení.

CVE-2026-21708 (CVSS skóre 9,9)

Kritická zraniteľnosť komponentu umožňuje útočníkovi s rolou Backup Viewer vzdialene vykonávať kód v kontexte používateľa postgres.

Možné škody:

• Vzdialené vykonávanie kódu
• Obchádzanie bezpečnostných prvkov
• Únik citlivých informácií
• Eskalácia privilégií

Odporúčania:

Bezodkladná aktualizácia Veeam Backup & Replication aspoň na verziu 12.3.2.4465 alebo 13.0.1.2067.

Odkazy:

• https://www.veeam.com/kb4830
• https://www.veeam.com/kb4831