Origine : bjCSIRT

Numéro : 2026/ALERTE/012

APERÇU :

De multiples vulnérabilités ont été découvertes dans la solution Veeam Backup & Replication permettant à un acteur malveillant authentifié d’exécuter du code arbitraire à distance, d’élever ses privilèges et de compromettre l’intégrité des données sauvegardées.

DESCRIPTION :

Veeam Backup & Replication est une solution de sauvegarde, de restauration et de réplication de données pour les environnements virtuels, physiques et cloud. 

Cette solution est affectée par plusieurs vulnérabilités libellées comme suit :    

CVE-2026-21666 & CVE-2026-21667 & CVE-2026-21669 : ces vulnérabilités résultent d’une mauvaise gestion des accès qui permettrait à un acteur malveillant disposant d’un compte de domaine authentifié d’exécuter des commandes arbitraires sur le serveur de sauvegarde affecté. Elles sont classées critique avec un score de sévérité 9.9 selon le CVSS v3.1. 

CVE-2026-21668 : cette vulnérabilité est due à un défaut de contrôle d’accès sur les fichiers. Elle permettrait à un acteur malveillant authentifié de contourner les restrictions et de manipuler des fichiers de l’espace de sauvegarde (Backup Repository). Elle est classée élevée avec un score de sévérité 8.8 selon le CVSS v3.1. 

CVE-2026-21672 : cette vulnérabilité découle d’une gestion insuffisante des privilèges locaux sur des serveurs Veeam sous Windows. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’élever ses privilèges au niveau SYSTEM. Elle est classée élevée avec un score de sévérité 8.8 selon le CVSS v3.1. 

CVE-2026-21708 : cette vulnérabilité permettrait à un acteur malveillant disposant du rôle de « Backup Viewer » d’exécuter du code arbitraire sur les systèmes affectés en tant qu’utilisateur postgres. Elle est classée critique avec un score de sévérité 9.9 selon le CVSS v3.1. 

CVE-2026-21670 : cette vulnérabilité est causée par une protection insuffisante des données sensibles au sein des serveurs Veeam sous Windows, et permettrait à un acteur malveillant disposant de faibles privilèges d’extraire des identifiants SSH enregistrés. Elle est classée élevée avec un score de sévérité 7.7 selon le CVSS v3.1. 

CVE-2026-21671 : cette vulnérabilité résulte d’une faille dans les déploiements à haute disponibilité (HA) au sein du logiciel Veeam. Elle permettrait à un acteur malveillant authentifié disposant du rôle « Backup Administrator » d’exécuter du code à distance. Elle est classée critique avec un score de sévérité 9.1 selon le CVSS v3.1. 

IMPACT

• Exécution de code arbitraire à distance ;
• Élevation de privilèges ;
• Atteinte à la confidentialité et à l’intégrité des données ;
• Compromission de l’infrastructure de sauvegarde. 

SYSTÈMES AFFECTÉS :

• Les versions Veeam Backup & Replication 12.3.2 antérieures à 12.3.2.4465 ;
• Les versions Veeam Backup & Replication 13.0 antérieures à 13.0.1.2067. 

MESURES À PRENDRE :

• Mettre à jour Veeam Backup & Replication 12.3.2 vers la version 12.3.2.4465 ou ultérieure ;
• Mettre à jour Veeam Backup & Replication 13.0 vers la version 13.0.1.2067 ou ultérieure ;
• Limiter l’accès aux ports de gestion de Veeam aux seuls administrateurs de confiance.

RÉFÉRENCES :

• https://www.veeam.com/kb4830
• https://nvd.nist.gov/vuln/detail/CVE-2026-21666
• https://www.veeam.com/kb4831
• https://thehackernews.com/2026/03/veeam-patches-7-critical-backup.html