A Veeam lançou atualizações de segurança para corrigir várias vulnerabilidades em seu software Backup & Replication, incluindo uma falha considerada crítica que permite execução remota de código (RCE).
Identificada como CVE-2025-59470, essa vulnerabilidade recebeu uma pontuação CVSS de 9,0.
Segundo um boletim divulgado na terça-feira, ela possibilita que usuários com função de Backup Operator ou Tape Operator executem código remotamente como o usuário postgres ao enviar parâmetros maliciosos do tipo interval ou order.
De acordo com a documentação da Veeam, o Backup Operator pode iniciar e parar jobs existentes, exportar e copiar backups, além de criar backups VeeamZip.
Já o Tape Operator tem permissões para executar jobs de backup via fita ou catálogo, ejetar, importar, exportar, mover, copiar, apagar fitas e configurar senha para fita.
Essas funções possuem privilégios elevados, o que reforça a necessidade de as organizações adotarem controles rigorosos para evitar abuso desses acessos.
Apesar da alta pontuação CVSS, a Veeam classifica a ameaça como “alta gravidade” e destaca que a possibilidade de exploração diminui se os clientes seguirem suas Diretrizes de Segurança recomendadas.
Além desse problema crítico, a atualização corrige outras três vulnerabilidades no mesmo produto:
- CVE-2025-55125 (CVSS 7,2): permite que Backup Operator ou Tape Operator execute RCE como root por meio da criação de um arquivo de configuração de backup malicioso.
- CVE-2025-59468 (CVSS 6,7): possibilita a um Backup Administrator a execução remota de código como usuário postgres via envio de parâmetro de senha malicioso.
- CVE-2025-59469 (CVSS 7,2): permite que Backup Operator ou Tape Operator grave arquivos com privilégios de root.
Todas as falhas afetam o Veeam Backup & Replication na versão 13.0.1.180 e em versões anteriores da série 13. A correção foi disponibilizada na versão 13.0.1.1071.
Até o momento, a Veeam não registrou exploração dessas vulnerabilidades em ataques reais. No entanto, é fundamental que os usuários apliquem as atualizações imediatamente, especialmente considerando que versões anteriores do software já foram alvo de ameaças por agentes maliciosos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...