Se han descubierto vulnerabilidades de severidad crítica en productos VEEAM. Un actor malicioso podría lograr la ejecución remota de código o realizar una escalada de privilegios local en los sistemas afectados.
Productos afectados
- Veeam Backup & Replication versión 13 (compilaciones 13.0.1.1071 y anteriores).
- Veeam Backup & Replication versión 12 (compilaciones 12.3.2.4165 y anteriores).
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-21669: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código. Un actor malicioso autenticado en el dominio podría ejecutar código arbitrario en el servidor de respaldo de forma remota.
CVE-2026-21708: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código. Un actor malicioso con el rol de visualizador de copias de seguridad podría ejecutar comandos arbitrarios de forma remota con los privilegios del usuario de base de datos postgres.
CVE-2026-21671: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código en implementaciones de alta disponibilidad. Un actor malicioso autenticado con el rol de administrador de backup podría ejecutar código arbitrario en el software de Veeam Backup & Replication.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias