Veeam修复位于备份服务器上的多个RCE漏洞

admin
admin
admin
0
文章
0
评论
2026-03-17 06:53:58 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Veeam发布更新修复三个严重RCE漏洞(CVSS9.9)及两个高危漏洞,涉及CVE-2026-21666等。攻击者可利用这些漏洞在备份服务器执行代码、提升权限或操纵文件。新版本build12.3.2.4465升级了核心组件并修复操作问题。建议管理员立即应用补丁,运行不同版本的系统需分别下载专用补丁或完整ISO镜像进行升级。 综合评分: 78 文章分类: 漏洞预警,漏洞分析,数据安全

cover_image

Veeam 修复位于备份服务器上的多个 RCE 漏洞

Abinaya Abinaya

代码卫士

2026年3月16日 17:59 北京

  聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Veeam修复了可导致攻击者执行远程代码和提升权限的三个严重漏洞,CVSS 3.1评分均为9.9分。

三个严重漏洞

CVE-2026-21666可导致经身份认证的域用户直接在 Veeam 备份服务器上执行任意远程代码。CVE-2026-21667和前一个漏洞类似,可导致经身份认证的域用户在备份服务器上触发远程代码执行漏洞,可能导致系统遭完全攻陷。CVE-2026-21708可导致具有 Backup Viewer 权限的攻击者以内部 PostgreSQL用户的身份执行RCE,导致对后端数据库进程拥有未授权控制权限。

两个高危漏洞

除了以上三个严重漏洞外,Veeam 还修复了CVSS评分为8.8的两个高危漏洞。CVE-2026-21668是一个限制绕过漏洞,可导致经身份认证的域用户操作位于 Backup Repository 上的任意文件,威胁备份完整性。CVE-2026-21672是一个本地提权漏洞,影响基于 Windows 的 Veeam Backup & Replication 服务器,可导致具有有限本地访问权限的攻击者提升系统权限。

技术改进和修复方案

除了修复以上CVE漏洞外,新版本 build 12.3.2.4465 还升级了核心组件,以提升系统的整体安全性。补丁将 Decode-uri-component 升级至版本0.2.2、Newtonsoft.Json 升级至13.0.3以及Path-to-RegExp 升级至1.9.0。

此次更新还解决了若干操作问题。对于启用了DISA STIG配置文件的RHEL基础设施服务器更新系统,用于验证Veeam软件包的公共GPG密钥现在将被正确更新。

Veeam建议在本次更新期间暂时关闭fapolicyd服务,以确保顺利过渡。此外,本次更新修复了一个反序列化错误,该错误此前导致从Enterprise Manager启动的PostgreSQL项目恢复操作失败。Veeam强烈建议管理员立即应用此安全补丁。要验证当前版本,用户可打开Veeam Backup & Replication控制台的主菜单,导航至“帮助”,然后选择“关于”。

当前运行12.3.2版本(内部版本号为12.3.2.3617或12.3.2.4165)的组织机构可下载并应用一个较小的专用补丁文件,该文件以ISO或EXE格式提供。运行旧版本(例如12.3.1或更早版本)的部署必须使用完整的安装ISO镜像,才能升级到安全的12.3.2.4465版本。

在运行安装程序之前,务必先解除已下载文件的锁定,以防止操作错误。分享关于这些问题的专业技术新闻页有助于确保这些关键更新能够送达最需要它们的系统管理员手中。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login

推荐阅读

Veeam 修复备份服务器中的RCE漏洞

Veeam RCE漏洞导致域用户入侵备份服务器

Veeam 修复Backup & Replication 中的严重RCE漏洞

Veeam 提醒注意VSPC中的严重RCE漏洞

Veeam 修复5个严重漏洞

原文链接

Veeam Patches Multiple Critical RCE Vulnerabilities on Backup Server

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 “赞” 吧~

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:代码卫士 Abinaya Abinaya《Veeam 修复位于备份服务器上的多个 RCE 漏洞》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0