圖片來源: 

Veeam

備份與資料保護軟體廠商Veeam,於6月17日揭露影響備份軟體與其代理程式的3項漏洞,並釋出修補。

這3個漏洞中,最嚴重的是編號為CVE-2025-23121的漏洞,為CVSS嚴重性等級評分9.9的重大漏洞,由watchTowr與CodeWhite安全研究人員發現與通報,存在於Veeam Backup & Recovery備份軟體12.3.1.1139以前的版本,通過身分驗證的網域使用者,可透過這個漏洞從遠端存取備份伺服器,並且在上面任意執行各種程式碼。

事實上,Veeam先前在今年3月,才剛修補Veeam Backup & Recovery另一個相似的遠端執行程式碼漏洞CVE-2025-23120,CVSS嚴重性評分同樣是9.9,當時Veeam曾發布12.3.1版(build 12.3.1.1139)備份軟體來修補這個漏洞,但時隔3個月後,這個修補版本也被發現存在遠端執行程式碼漏洞,解決方法是將備份軟體更新到12.3.2版(build 12.3.2.3617)

至於這次修補的另2個漏洞CVE-2025-24286與CVE-2025-24287,CVSS嚴重性等級評分為7.2與6.1,前者會影響12.3.1.1139版以前的Veeam備份軟體,被授予備份操作者角色、且通過身分認證的用戶,本身原本就有足夠權限而得以修改備份工作,但因為有這個漏洞的關係,竟能在Veeam系統任意執行程式碼,解決方法同樣是將備份軟體更新到12.3.2版;後者會影響6.3.1.1074版以前所有6.x版Windows代理程式(Veeam Agent for Microsoft Windows),由於本機使用者的角色雖然有權限能修改電腦的資料夾內容,但因為這個漏洞的緣故,而得以不當提升權限,進而能夠執行任意程式碼,,解決方法是將Veeam代理程式升級到6.3.2版(build 6.3.2.1205)

熱門新聞

Advertisement