Veeam Patches Critical RCE Vulnerability with CVSS 9.0 in Backup & Replication
Mis à jour :
Correction de Vulnérabilités Critiques dans Veeam Backup & Replication
Veeam a publié des mises à jour pour corriger plusieurs failles de sécurité dans son logiciel Backup & Replication, dont une “critique” permettant une exécution de code à distance (RCE).
Points Clés :
- Une vulnérabilité (CVE-2025-59470) avec un score CVSS de 9.0 a été corrigée.
- Quatre vulnérabilités au total ont été traitées, affectant Veeam Backup & Replication version 13.0.1.180 et toutes les versions antérieures de la branche 13.
- Les correctifs sont disponibles dans la version 13.0.1.1071 du logiciel.
- Il est rappelé que des vulnérabilités antérieures de ce logiciel ont été exploitées par des acteurs malveillants.
Vulnérabilités Corrigées :
- CVE-2025-59470 (CVSS 9.0) : Permet à un utilisateur ayant les rôles “Backup Operator” ou “Tape Operator” d’exécuter du code à distance en tant qu’utilisateur
postgres. - CVE-2025-55125 (CVSS 7.2) : Permet à un utilisateur ayant les rôles “Backup Operator” ou “Tape Operator” d’exécuter du code à distance en tant que
rooten créant un fichier de configuration de sauvegarde malveillant. - CVE-2025-59468 (CVSS 6.7) : Permet à un utilisateur ayant le rôle “Backup Administrator” d’exécuter du code à distance en tant qu’utilisateur
postgresen envoyant un paramètre de mot de passe malveillant. - CVE-2025-59469 (CVSS 7.2) : Permet à un utilisateur ayant les rôles “Backup Operator” ou “Tape Operator” d’écrire des fichiers en tant que
root.
Recommandations :
- Appliquer rapidement les mises à jour de sécurité disponibles pour Veeam Backup & Replication version 13.0.1.1071.
- Suivre les directives de sécurité recommandées par Veeam.