Krytyczne podatności w Veeam - konieczna aktualizacja
CSIRT CeZ ostrzega: Veeam opublikował pakiet krytycznych poprawek bezpieczeństwa dla Backup & Replication, usuwając szereg luk o najwyższych ocenach CVSS, które umożliwiały zdalne wykonanie kodu, eskalację uprawnień oraz manipulację plikami przez uwierzytelnionych użytkowników domenowych. Apelujemy o pilną aktualizację do najnowszej wersji.
Charakterystyka podatności
CVE-2026-21666
- wynik CVSS: 9,9 critical
- umożliwia uwierzytelnionemu użytkownikowi domeny zdalne wykonywanie kodu na serwerze zapasowym.
CVE-2026-21667
- wynik CVSS: 9,9 critical
- umożliwia uwierzytelnionemu użytkownikowi domeny zdalne wykonywanie kodu na serwerze zapasowym.
CVE-2026-21668
- wynik CVSS: 8,8 high
- pozwala uwierzytelnionemu użytkownikowi domeny omijać ograniczenia i manipulować dowolnymi plikami w repozytorium kopii zapasowej
CVE-2026-21672
- wynik CVSS: 8,8 high
- umożliwia eskalację lokalnych uprawnień na serwerach Veeam Backup & Replication z systemem Windows
CVE-2026-21708
- wynik CVSS: 9,9 critical
- umożliwia podglądowi kopii zapasowej wykonywanie zdalnego wykonywania kodu jako użytkownik postgres
CVE-2026-21669
- wynik CVSS: 9,9 critical
- umożliwia uwierzytelnionemu użytkownikowi domeny wykonywanie zdalnego wykonywania kodu na serwerze zapasowym
CVE-2026-21671
- wynik CVSS: 9,1 critical
- pozwala uwierzytelnionemu użytkownikowi z rolą Administratora Kopii Zapasowej na zdalne wykonywanie kodu w wdrożeniach wysokiej dostępności (HA) Veeam Backup & Replication.
Podatne systemy
Podatność dotyczy:
- Veeam Backup & Replication 12.3.2.4165 oraz wszystkich wcześniejszych wersji 12.
Rekomendowane działania zapobiegawcze
- Konieczna jest bezzwłoczna aktualizacja do wersji Backup & Replication 13.0.1.2067 lub innej wyższej zalecanej przez producenta.