Veeam揭露備份軟體重大風險，須更新至12.3.2.4165版修補漏洞

備份與資料保護軟體廠商Veeam，於10月14日揭露影響備份軟體與其代理程式的3項漏洞，並釋出修補。

這3個漏洞中，最嚴重的是編號為CVE-2025-48983與CVE-2025-48984的漏洞，兩者均為CVSS嚴重性等級評分9.9的重大漏洞，分別是由CodeWhite與watchTowr的安全研究人員發現與通報。

CVE-2025-48983發生在Veeam Backup & Recovery備份軟體的Mount服務，會導致通過身分驗證的網域使用者，能夠在備份基礎架構主機（Backup infrastructure hosts或Backup infrastructure servers）遠端執行任何程式碼，但不影響未加入網域的主機；CVE-2025-48984坐落在備份伺服器（Backup Server），會允許經過驗證的網域用戶，在加入網域的備份伺服器上遠端執行程式碼，但不影響未加入網域的備份伺服器。

在Veeam的架構中，備份基礎架構主機和備份伺服器乍看名稱很相似，兩者有何差異？備份伺服器是整個備份環境的核心，負責建立與協調備份作業、配置備份環境資源。備份基礎架構主機則是備份環境中，作為來源端、目標端、備份代理（proxy）與備份儲存庫等用途的主機。

前述兩個漏洞會影響Veeam Backup & Recovery備份軟體版本，主要是在12.x當中，12.3.2.3617以前的版本，解決方法是將備份軟體更新到12.3.2.4165版。

這次修補的另1個漏洞CVE-2025-48982，CVSS嚴重性等級評分為7.3，會影響的產品是Windows代理程式（Veeam Agent for Microsoft Windows），版本範圍是6.x版當中，6.3.2.1205版以前的版本，若系統管理者被誘導去還原惡意檔案，將導致本機權限提升，解決方法是將代理程式升級到6.3.2.1302版。