[TLP:CLEAR] Veeam opravuje 3 zranitelnosti

Veeam opravuje tři zranitelnosti ve svých produktech [1]. Produkty a jejich opravené verze: Veeam Backup & Replication - 12.3.2 (build 12.3.2.3617) Veeam Agent for Microsoft Windows - 6.3.2 (build 6.3.2.1205)

Veeam Backup & Replication - RCE (CVE-2025-23121) CVSS 9.9 (Critical)

Autentizovanému vzdálenému útočníkovi s účtem v doméně je na Backup Serveru umožněno spustit kód [1].

Zranitelnost se nachází v produktu Veeam Backup & Replication ve verzích >=12.0.0.1402 AND <=12.3.1.1139.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 17. 6. 2025.

Veeam Backup & Replication - RCE (CVE-2025-24286) CVSS 7.2 (High)

Autentizovanému vzdálenému útočníkovi s rolí Backup Operator je umožněno modifikovat zálohovací úlohy a potenciálně spustit kód [1].

Zranitelnost se nachází v produktu Veeam Backup & Replication ve verzích >=12.0.0.1402 AND <=12.3.1.1139.

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 17. 6. 2025.

Veeam Agent for Microsoft Windows - privilege escalation, RCE (CVE-2025-24287) CVSS 6.1 (Medium)

Autentizovanému lokálnímu útočníkovi je ve Veeam Agent na Microsoft Windows (samostatně nebo jako součást Veeam Backup & Replication) umožněno modifikovat obsah adresářů, což může vést ke spuštění kódu s vyššími oprávněními [1].

Zranitelnost se nachází v produktu Veeam Agent (Microsoft Windows) ve verzích >=6.0.0.959 AND <=6.3.1.1074.

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L

Více informací:

Zranitelnost byla veřejně oznámena 17. 6. 2025.

Za CESNET-CERTS Michaela Ručková dne 19. 6. 2025.

CESNET CERTS Logo