Origine : bjCSIRT
Numéro : 2026/ALERTE/001
APERÇU :
Une vulnérabilité critique affectant Veeam permettrait à un acteur malveillant authentifié d’exécuter du code à distance dans les systèmes affectés.
DESCRIPTION :
Veeam Backup & Replication est un logiciel de sauvegarde et de restauration développé par Veeam Software. Il permet de protéger les machines virtuelles et les environnements cloud, en assurant une sauvegarde fiable et une récupération rapide des données en cas d’incident ou de perte de données.
Cette solution est affectée par une vulnérabilité critique libellée CVE‑2025-59470, résultant d’une validation insuffisante des paramètres de requête fournis par un utilisateur lors de l’exécution d’actions de gestion des sauvegardes. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié et disposant des rôles “Backup Operator” et “Tape Operator”, d’exécuter du code arbitraire sur les systèmes affectés en fournissant des paramètres spécialement conçus aux composants internes de Veeam Backup & Replication.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.0 selon le CVSS V3.1.
IMPACT
- Exécution de code à distance ;
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système.
SYSTÈMES AFFECTÉS :
La version 13.0.1.180 de Veeam Backup & Replication ainsi que toutes les versions antérieures à 13.0.1.1071.
MESURES À PRENDRE :
Mettre à jour Veeam Backup & Replication vers la version 13.0.1.1071 ou ultérieures.
RÉFÉRENCES :