Τέσσερα κρίσιμα ελαττώματα στο Veeam Backup & Replication v13, τα οποία θα μπορούσαν να επιτρέψουν στους εισβολείς να αποκτήσουν πρόσβαση σε επίπεδο ρίζας και να εκτελέσουν κώδικα σε συστήματα δημιουργίας αντιγράφων ασφαλείας, αποκαλύφθηκαν από το Veeam Software.
Τα τρωτά σημεία ανακαλύφθηκαν κατά τη διάρκεια εσωτερικών δοκιμών και επιλύθηκαν στην έκδοση 13.0.1.1071, που κυκλοφόρησε στις 6 Ιανουαρίου 2026.
Το πιο επικίνδυνο ελάττωμα, το CVE-2025-55125, επιτρέπει στους χειριστές δημιουργίας αντιγράφων ασφαλείας ή ταινίας να εκτελούν απομακρυσμένη εκτέλεση κώδικα (RCE) ως root δημιουργώντας ένα κακόβουλο αρχείο διαμόρφωσης αντιγράφων ασφαλείας, με βαθμολογία CVSS v3.1 7,2 (Υψηλή σοβαρότητα).
Ένα δεύτερο κρίσιμο ζήτημα, το CVE-2025-59470, επιτρέπει στους χειριστές να εκτελούν αυθαίρετο κώδικα ως χρήστης της PostgreSQL μέσω κακόβουλων παραμέτρων διαστήματος ή παραγγελίας, με βαθμολογία Κρίσιμη με βαθμολογία CVSS 9,0.
Αν και κρίσιμο τεχνικά, το Veeam το προσάρμοσε σε Υψηλή σοβαρότητα λόγω ελέγχων πρόσβασης που βασίζονται σε ρόλους. Το CVE-2025-59469 επιτρέπει στους χειριστές να γράφουν αρχεία με δικαιώματα root.
| Αναγνωριστικό CVE | Αυστηρότητα | Βαθμολογία CVSS | Λεπτομέρειες ευπάθειας |
|---|---|---|---|
| CVE-2025-55125 | Ψηλά | 7.2 | RCE ως root μέσω κακόβουλης δημιουργίας αντιγράφων ασφαλείας |
| CVE-2025-59468 | Μέσον | 6.7 | RCE ως χρήστης PostgreSQL μέσω παραμέτρου κωδικού πρόσβασης |
| CVE-2025-59469 | Ψηλά | 7.2 | Εγγραφή αυθαίρετου αρχείου ως root |
| CVE-2025-59470 | Κρίσιμος* | 9.0 | RCE ως χρήστης PostgreSQL μέσω παραμέτρου διαστήματος/παραγγελίας |
Ταυτόχρονα, το CVE-2025-59468 επιτρέπει στους διαχειριστές αντιγράφων ασφαλείας να επιτύχουν RCE ως χρήστη PostgreSQL μέσω κακόβουλων παραμέτρων κωδικού πρόσβασης.
Και οι τέσσερις ευπάθειες επηρεάζουν το VBR 13.0.1.180 και παλαιότερες εκδόσεις 13 εκδόσεων. Οι προηγούμενες εκδόσεις (12.x και παλαιότερες) παραμένουν ανεπηρέαστες.
Τα τρωτά σημεία είναι ιδιαίτερα ανησυχητικά επειδή στοχεύουν σε προνομιούχους ρόλους χειριστή που χρησιμοποιούνται συνήθως για τη διαχείριση επιχειρηματικών συστημάτων ασφαλείας.
Μόλις αποκαλυφθούν, οι εισβολείς συνήθως δημιουργούν ενημερώσεις κώδικα αντίστροφης μηχανικής για να εκμεταλλευτούν μη επιδιορθωμένες αναπτύξεις, καθιστώντας τις γρήγορες ενημερώσεις απαραίτητες.
Οι οργανισμοί που εκτελούν τις επηρεαζόμενες εκδόσεις του Veeam Backup & Replication πρέπει να αναβαθμιστούν αμέσως για την έκδοση 13.0.1.1071 ή μεταγενέστερη.
Veeam συνιστά ακολουθώντας τις Οδηγίες Ασφαλείας του για περιορισμό των αναθέσεων ρόλων χειριστή μόνο σε αξιόπιστο προσωπικό.
Η εταιρεία τονίζει ότι η τμηματοποίηση δικτύου και οι ισχυρές πολιτικές ελέγχου ταυτότητας θα πρέπει να συμπληρώνουν την ανάπτυξη ενημερώσεων κώδικα.
