Ce bulletin de vulnérabilité met en lumière plusieurs vulnérabilités critiques découvertes dans les produits Veeam Backup & Replication et Veeam Agent for Microsoft Windows.
La première vulnérabilité, identifiée sous le CVE-2025-23121, permet une exécution de code à distance (RCE) sur le serveur de sauvegarde par un utilisateur de domaine authentifié. Cette faille est jugée critique avec un score CVSS de 9.9 et affecte les versions 12.3.1.1139 et antérieures de Veeam Backup & Replication. Elle a été corrigée dans la version 12.3.2 (build 12.3.2.3617).
Une seconde vulnérabilité, CVE-2025-24286, permet à un utilisateur authentifié ayant le rôle d’opérateur de sauvegarde de modifier des tâches de sauvegarde et d’exécuter du code arbitraire. Elle est classée avec une sévérité élevée et un score CVSS de 7.2. Cette faille a également été corrigée dans la version 12.3.2 (build 12.3.2.3617).
Enfin, la vulnérabilité CVE-2025-24287 concerne Veeam Agent for Microsoft Windows, permettant à des utilisateurs locaux de modifier le contenu des répertoires et d’exécuter du code avec des permissions élevées. Cette faille, de sévérité moyenne, a été corrigée dans la version 6.3.2 (build 6.3.2.1205). Cet article est un rapport de vulnérabilité visant à informer sur les correctifs de sécurité disponibles.
🔗 Source originale : https://www.veeam.com/kb4743
🖴 Archive : https://web.archive.org/web/20250618075939/https://www.veeam.com/kb4743