Selon IT-Connect, Veeam a publié des correctifs en ce début janvier 2026 pour quatre vulnérabilités affectant Veeam Backup & Replication 13, issues d’audits internes. Trois d’entre elles permettent une exécution de code à distance (RCE).
⚠️ Détail des failles (CVE, impact, privilèges requis, sévérité, CVSS):
- CVE-2025-55125: RCE en tant que root via création d’un fichier de configuration de sauvegarde malveillant — Prérequis: Backup/Tape Operator — Élevée, 7.2
- CVE-2025-59468: RCE en tant qu’utilisateur postgres via envoi d’un paramètre de mot de passe malveillant — Prérequis: Backup Administrator — Moyenne, 6.7
- CVE-2025-59469: Écriture de fichiers arbitraires en tant que root — Prérequis: Backup/Tape Operator — Élevée, 7.2
- CVE-2025-59470: RCE en tant qu’utilisateur postgres via des paramètres d’ordre ou d’intervalle malveillants — Prérequis: Backup/Tape Operator — Élevée, 9.0 (CVSS)
Pour la CVE-2025-59470, malgré un score CVSS 9.0, Veeam abaisse la sévérité à Élevée car: 1) l’exploitation exige déjà le rôle Operator, conférant de forts privilèges; 2) l’application des bonnes pratiques de sécurité Veeam réduit la probabilité d’exploitation.
Versions concernées: Veeam Backup & Replication 13.0.1.180 et toutes les versions antérieures de la branche 13.x. Les versions 12.x et antérieures ne sont pas affectées. Correctif: installer Veeam Backup & Replication 13.0.1.1071, qui corrige aussi divers bugs (voir KB associée).
IOCs: non mentionnés. TTPs: RCE via paramètres malveillants (mot de passe, ordre/intervalle), RCE via fichier de configuration de sauvegarde malveillant, écriture arbitraire de fichiers; exploitation nécessitant des rôles Backup/Tape Operator ou Backup Administrator.
Type d’article: patch de sécurité. But principal: informer sur les vulnérabilités corrigées, les versions impactées et la mise à jour à appliquer.
🔗 Source originale : https://www.it-connect.fr/veeam-backup-replication-4-failles-de-securite-janvier-2026/