Se han descubierto vulnerabilidades de severidad crítica y alta en Veeam Backup & Replication. Un actor malicioso con privilegios de operador podría ejecutar código arbitrario con privilegios elevados o escribir archivos arbitrarios en el sistema.
Productos afectados
- Veeam Backup & Replication 13: versiones anteriores a 13.0.1.1071
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-59470: con una puntuación de 9.0 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código. Un actor malicioso autenticado con el rol de «Backup Operator» o «Tape Operator» podría enviar parámetros de intervalo u orden maliciosos para ejecutar código arbitrario como el usuario postgres.
CVE-2025-55125: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código. Un actor malicioso con el rol de «Backup Operator» o «Tape Operator» podría crear un archivo de configuración de respaldo malicioso para ejecutar código arbitrario con privilegios de root en el sistema.
CVE-2025-59469: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de escritura de archivos arbitraria. Un actor malicioso con el rol de «Backup Operator» o «Tape Operator» podría aprovechar esta vulnerabilidad para escribir archivos en el sistema con privilegios de root.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.veeam.com/kb4792