Krytyczna podatność w Veeam Service Provider Console
W oprogramowaniu Veeam Service Provider Console wykryto krytyczną podatność typu command injection, która może prowadzić do przejęcia pełnej kontroli nad serwerem. Luka, oceniona na 9,4 w skali CVSS 4.0, umożliwia atakującemu – posiadającemu ograniczone uprawnienia lub dostęp do interfejsu zarządzania – wstrzyknięcie poleceń systemowych i ich wykonanie. Ryzyko występuje w szczególności w środowiskach, gdzie aktywna jest funkcja alarm script execution.
Charakterystyka podatności CVE-2026-32998
- CVSS 4.0:9,4(Critical)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/ VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Jak działa podatność
Atakujący nawet posiadając niewielkie uprawnienia lub dostęp do interfejsu zarządzania, może wstrzyknąć polecenia systemowe i przejąć kontrolę nad serwerem. Podatność wynika z błędnego przetwarzania parametrów (command injection) i może być wykorzystana tylko, gdy jest włączona funkcja alarm script execution.
Podatne systemy
Veeam Service Provider Console od wersji 9.0 do 9.2 (włącznie)
Rekomendowane działania
Niezwłoczna aktualizacja oprogramowania do zalecanej wersji przez producenta nie niższej niż 9.2.1