Veeam揭露旗下v13版備份軟體重大風險，須盡速更新修補漏洞

備份與資料保護軟體廠商Veeam，於1月6日揭露影響其Veeam Backup & Recovery備份軟體的4項漏洞，並釋出修補。

這4項漏洞中，最嚴重的是編號為CVE-2025-59470的漏洞，為CVSS嚴重性等級評分9.0的重大漏洞，會導致備份或磁帶操作者，透過發送惡意間隔或順序參數，以postgres使用者身分遠端執行程式碼。

另3個漏洞CVE-2025-55125、CVE-2025-59468與CVE-2025-59469，為CVSS嚴重性等級評分7.2、6.7與7.2的漏洞。CVE-2025-55125若遭到濫用，可能會導致備份或磁帶操作者透過建立惡意備份設定檔；CVE-2025-59468允許以root身分執行遠端程式碼，若攻擊者假冒備份管理者的身分，可透過發送惡意的密碼參數，以postgres使用者身分遠端執行程式碼；CVE-2025-59469的存在，允許備份或磁帶操作者以root身分寫入檔案，有心人士可濫用此漏洞，非法將資料灌入備份系統中。

在Veeam的應用架構中，備份管理者（Backup Administrator）、備份操作者（Backup Operator）或磁帶操作者（Tape Operator），都是擁有高權限的角色，負責管理備份作業，但前述漏洞對於擁有這些權限的用戶未設下限制，若內部或外部攻擊者取得這些角色授權的帳號，將存在可執行惡意操作的機會，導致嚴重的危害。

這4項漏洞都是由Veeam內部人員在測試時發現的，會影響Veeam Backup & Recovery備份軟體13.0.1.180版以前所有的13.0.x版，解決方法是將備份軟體更新到13.0.1.1071版。至於12.x版以前的較早版本，則不受這些漏洞影響。