Veeam修補備份軟體重大漏洞，可導致在備份伺服器遠端執行程式碼

備份與資料保護軟體廠商Veeam，於6月17日揭露影響備份軟體與其代理程式的3項漏洞，並釋出修補。

這3個漏洞中，最嚴重的是編號為CVE-2025-23121的漏洞，為CVSS嚴重性等級評分9.9的重大漏洞，由watchTowr與CodeWhite安全研究人員發現與通報，存在於Veeam Backup & Recovery備份軟體12.3.1.1139以前的版本，通過身分驗證的網域使用者，可透過這個漏洞從遠端存取備份伺服器，並且在上面任意執行各種程式碼。

事實上，Veeam先前在今年3月，才剛修補Veeam Backup & Recovery另一個相似的遠端執行程式碼漏洞CVE-2025-23120，CVSS嚴重性評分同樣是9.9，當時Veeam曾發布12.3.1版（build 12.3.1.1139）備份軟體來修補這個漏洞，但時隔3個月後，這個修補版本也被發現存在遠端執行程式碼漏洞，解決方法是將備份軟體更新到12.3.2版（build 12.3.2.3617）。

至於這次修補的另2個漏洞CVE-2025-24286與CVE-2025-24287，CVSS嚴重性等級評分為7.2與6.1，前者會影響12.3.1.1139版以前的Veeam備份軟體，被授予備份操作者角色、且通過身分認證的用戶，本身原本就有足夠權限而得以修改備份工作，但因為有這個漏洞的關係，竟能在Veeam系統任意執行程式碼，解決方法同樣是將備份軟體更新到12.3.2版；後者會影響6.3.1.1074版以前所有6.x版Windows代理程式（Veeam Agent for Microsoft Windows），由於本機使用者的角色雖然有權限能修改電腦的資料夾內容，但因為這個漏洞的緣故，而得以不當提升權限，進而能夠執行任意程式碼，，解決方法是將Veeam代理程式升級到6.3.2版（build 6.3.2.1205）。