CRITICAL🇬🇧 English

CVE-2026-21669

RCE w Veeam Backup & Replication dla uwierzytelnionych użytkowników domenowych

CVSS 9.9v3.1pub. 2026-03-12upd. 2026-05-10

Podatność w Veeam Backup & Replication umożliwia uwierzytelnionemu użytkownikowi domenowemu wykonanie dowolnego kodu zdalnie (RCE) na serwerze kopii zapasowych. Krytyczny poziom zagrożenia (CVSS 9.9) wynika z możliwości pełnego przejęcia kontroli nad serwerem bez konieczności posiadania uprawnień administracyjnych.

Pokaż oryginał (EN)

A vulnerability allowing an authenticated domain user to perform remote code execution (RCE) on the Backup Server.

🤖 Analiza AI
Jak działa

Atakujący posiadający konto domenowe z dostępem do środowiska może wysłać odpowiednio spreparowane żądanie do serwera Veeam Backup & Replication. Podatność sklasyfikowana jako CWE-94 (improper control of code generation) oraz CWE-693 (protection mechanism failure) wskazuje na możliwość wstrzyknięcia i wykonania kodu po stronie serwera z pominięciem mechanizmów zabezpieczających. Atak możliwy jest przez sieć bez dodatkowej interakcji ze strony ofiary.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem kopii zapasowych, co obejmuje poufność, integralność i dostępność przechowywanych danych — w tym dostęp do backupów całej infrastruktury oraz potencjalny lateral movement w środowisku.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://www.veeam.com/kb4831

Kogo dotyczy

Veeam Backup & Replication — wersje wskazane w referencjach producenta (https://www.veeam.com/kb4831)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Veeam Backup \& Replication

    APP
    Veeam
    13.0.0.496 – 13.0.1.2067 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-40711CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Krytyczne RCE przez deserialization w Veeam Backup & Replication

CVE-2022-26501CRITICAL9.8⚠ KEVten sam produkt

Veeam Backup & Replication 10.x and 11.x has Incorrect Access Control (issue 1 of 2).

CVE-2026-21667CRITICAL9.9PL ✓ten sam produkt

RCE w Veeam Backup & Replication dla uwierzytelnionego użytkownika domenowego

CVE-2026-21666CRITICAL9.9PL ✓ten sam produkt

RCE dla uwierzytelnionego użytkownika domenowego w Veeam Backup & Replication

CVE-2026-21671CRITICAL9.1PL ✓ten sam produkt

RCE dla administratora kopii zapasowych w Veeam Backup & Replication (HA)