Jetzt patchen: Veeam Backup & Replication anfällig für Remote Code Execution
Ein frisch veröffentlichter Patch schützt Veeams Backup-Lösung gleich zweimal vor Codeausführung aus der Ferne. Auch der Agent für Windows wurde abgesichert.
(Bild: Alfa Photo/Shutterstock.com)
In mehreren Versionen von Veeams Backup & Replication klaffen zwei kritische Sicherheitslücken, die die Backup-Lösung verwundbar für Remote Code Execution (RCE), also Schadcode-Ausführung aus der Ferne, durch authentifizierte Domain User machen. Ein Patch schließt die Lücken CVE-2025-48983 und CVE-2025-48984, die jeweils mit einem CVSS-v3.1-Score von 9.9 bewertet wurden und damit kritisch sind.
Von den RCE-Lücken betroffen sind laut Sicherheitshinweis der Entwickler alle Veeam Backup & Replication-Versionen der 12-er Reihe bis einschließlich 12.3.2.3617. Der am heutigen Dienstag veröffentlichte Patch 12.3.2.4165 bannt die Gefahr (siehe Release-Informationen). Zügiges Handeln ist ratsam.
Videos by heise
Veeam Agent für Windows ebenfalls abgedichtet
Des Weiteren haben die Entwickler dem Veeam Agent für Windows ein Sicherheitsupdate spendiert. Von der dabei beseitigten Sicherheitslücke CVE-2025-48982 ging ein hohes Risiko aus (CVSS-Score 7.3); sie hätte unter bestimmten Voraussetzungen zur Rechteausweitung missbraucht werden können.
Die Lücke steckt in allen Versionen bis inklusive 6.3.2.1205 und wurde mit dem Build 6.3.2.1302 behoben. Details und Download-Links sind ebenfalls dem aktuellen Sicherheitshinweis zu entnehmen.
(ovw)
