Se ha detectado una vulnerabilidad de severidad crítica en la versión actual de Veeam Backup que permitiría la ejecución de código arbitrario en el servidor.
Productos Afectados
- Veeam Backup & Replication versión 12.3.0.310 y todas las anteriores a la 12.
Impacto
La vulnerabilidad de severidad crítica se identifica como:
CVE-2025-23120: Puntuación CVSS 9.9. Esta vulnerabilidad podría permitir a los usuarios locales y de dominio ejecutar código arbitrario en instancias de respaldo afectadas debido a la implementación incorrecta de mecanismos de deserialización basados en listas negras para el control de acceso.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias
- https://www.veeam.com/kb4724
- https://labs.watchtowr.com/by-executive-order-we-are-banning-blacklists-domain-level-rce-in-veeam-backup-replication-cve-2025-23120/