Se han lanzado actualizaciones de seguridad que corrigen tres vulnerabilidades en productos Veeam, una crítica y dos de alta severidad. Un actor malicioso podría lograr la ejecución remota de código, la escritura de archivos arbitrarios y la escalación de privilegios en los sistemas afectados.
Productos afectados
- Consola del proveedor de servicios de Veeam: 9.x (versiones anteriores a la 9.2.0.33215)
- Copia de seguridad y replicación de Veeam: 13.x (versiones anteriores a 13.0.1.2067)
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-32998: con una puntuación de 9.4 en CVSS v4.0. Existe una vulnerabilidad de serialización de datos no confiables en el servicio de comunicación central de Veeam Service Provider Console. Un actor malicioso remoto no autenticado podría aprovechar esta condición mediante el envío de paquetes de red diseñados para lograr la ejecución remota de código con privilegios de sistema.
CVE-2026-32997: con una puntuación de 8.6 en CVSS v4.0. Existe una vulnerabilidad de salto de directorio que permite la escritura de archivos arbitrarios en el componente de carga de datos de Veeam Backup & Replication. Un actor malicioso remoto autenticado con privilegios mínimos podría aprovechar esta condición para sobrescribir archivos críticos del sistema operativo y propiciar la ejecución de código.
CVE-2026-32996: con una puntuación de 7.3 en CVSS v4.0. Existe una vulnerabilidad de validación de entrada incorrecta en las llamadas a la API interna de la consola de administración. Un actor malicioso local con credenciales de operador estándar podría aprovechar esta condición para manipular los tokens de sesión y lograr una escalada de privilegios a nivel de administrador de la infraestructura de respaldos.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias