全球数据保护和灾难恢复解决方案领导者Veeam发布了其旗舰产品Veeam Backup & Replication的关键安全更新,修补了三个漏洞——其中一个可能允许经过身份验证的用户远程执行代码(RCE)。
这三个漏洞中最严重的 CVE-2025-23121 获得了接近最高 9.9 的 CVSS 评分。此漏洞允许经过身份验证的域用户在备份服务器上执行任意代码,从而可能损害备份完整性并支持跨企业网络的横向移动。
“允许经过身份验证的域用户在备份服务器上远程执行代码 (RCE) 的漏洞,”公告解释说。此漏洞影响Veeam Backup & Replication 12.3.1.1139和所有早期版本的12版本,并在12.3.2.3617版本中得到解决。
第二个漏洞 CVE-2025-24286 会影响 Backup Operator 角色,该角色通常分配给委派管理员。该漏洞允许此类用户修改备份作业,从而在某些情况下导致任意代码执行。
尽管没有 RCE 缺陷那么严重,但此漏洞在多用户管理环境中仍然存在重大风险。与第一个问题一样,它在版本 12.3.2.3617 中进行了修补。
第三个漏洞 CVE-2025-24287 是在 Veeam Agent for Microsoft Windows 中发现的,该组件与主 Veeam Backup 套件捆绑在一起。此漏洞使本地用户能够篡改目录内容,从而可能导致系统上的代码执行量增加。
此问题影响版本 6.3.1.1074 及更早版本,并已在 Veeam Agent 6.3.2.1205 中修复。
发表评论
您还未登录,请先登录。
登录