Veeam đã phát hành các bản cập nhật bảo mật để khắc phục nhiều lỗ hổng trong phần mềm Backup & Replication của mình, bao gồm một vấn đề "nghiêm trọng" có thể dẫn đến thực thi mã từ xa (RCE).
Lỗ hổng này, được theo dõi là CVE-2025-59470, có điểm CVSS là 9.0.
Veeam cho biết trong bản tin hôm thứ Ba: "Lỗ hổng này cho phép người dùng Backup hoặc Tape Operator thực hiện thực thi mã từ xa (RCE) với quyền người dùng postgres bằng cách gửi một tham số interval hoặc order độc hại."
Theo tài liệu của Veeam, người dùng có vai trò Backup Operator có thể bắt đầu và dừng các tác vụ hiện có; xuất các bản sao lưu; sao chép các bản sao lưu; và tạo các bản sao lưu VeeamZip. Mặt khác, người dùng Tape Operator có thể chạy các tác vụ sao lưu băng hoặc tác vụ danh mục băng; đẩy băng ra; nhập và xuất băng; di chuyển băng vào nhóm phương tiện; sao chép hoặc xóa băng; và đặt mật khẩu băng.
Nói cách khác, các vai trò này được coi là có đặc quyền cao, và các tổ chức nên thực hiện các biện pháp bảo vệ đầy đủ để ngăn chặn việc lạm dụng chúng.
Veeam cho biết họ đang xử lý lỗ hổng này ở mức "nghiêm trọng cao" mặc dù điểm CVSS cao, đồng thời nêu rõ rằng cơ hội khai thác sẽ giảm nếu khách hàng tuân thủ Security Guidelines được Veeam khuyến nghị.
Các lỗ hổng khác được khắc phục
Công ty cũng đã khắc phục ba lỗ hổng khác trong cùng sản phẩm:
- CVE-2025-55125 (CVSS score: 7.2) - Lỗ hổng cho phép người dùng Backup hoặc Tape Operator thực hiện RCE với quyền root bằng cách tạo một tệp cấu hình sao lưu độc hại.
- CVE-2025-59468 (CVSS score: 6.7) - Lỗ hổng cho phép Backup Administrator thực hiện RCE với quyền người dùng postgres bằng cách gửi một tham số password độc hại.
- CVE-2025-59469 (CVSS score: 7.2) - Lỗ hổng cho phép người dùng Backup hoặc Tape Operator ghi tệp với quyền root.
Tất cả bốn lỗ hổng đã xác định đều ảnh hưởng đến Veeam Backup & Replication 13.0.1.180 và tất cả các phiên bản trước đó của các bản dựng 13. Chúng đã được khắc phục trong phiên bản Backup & Replication 13.0.1.1071.
Mặc dù Veeam không đề cập đến việc các lỗ hổng đang bị khai thác trong thực tế, nhưng điều cần thiết là người dùng phải nhanh chóng áp dụng các bản vá, vì các lỗ hổng trong phần mềm đã từng bị các tác nhân đe dọa khai thác trong quá khứ.
