Veeam ha publicado parches para solucionar un fallo de seguridad crítico que afecta a su software de copia de seguridad y que podría permitir a un atacante ejecutar código arbitrario en sistemas susceptibles.
La vulnerabilidad, rastreada como CVE-2025-23114, tiene una puntuación CVSS de 9,0 sobre 10,0.
"Una vulnerabilidad dentro del componente Veeam Updater que permite a un atacante utilizar un ataque Man-in-the-Middle para ejecutar código arbitrario en el servidor del dispositivo afectado con permisos de nivel raíz", dijo Veeam en un aviso.
El fallo afecta a los siguientes productos:
- Veeam Backup para Salesforce - 3.1 y anteriores.
- Veeam Backup for Nutanix AHV - 5.0 | 5.1 (Las versiones 6 y superiores no están afectadas por el fallo).
- Veeam Backup para AWS - 6a | 7 (la versión 8 no está afectada por el fallo).
- Veeam Backup para Microsoft Azure - 5a | 6 (La versión 7 no se ve afectada por el fallo).
- Veeam Backup para Google Cloud - 4 | 5 (La versión 6 no se ve afectada por el fallo).
- Veeam Backup para Oracle Linux Virtualization Manager y Red Hat Virtualization - 3 | 4.0 | 4.1 (las versiones 5 y superiores no se ven afectadas por el fallo).
Se ha solucionado en las siguientes versiones
- Veeam Backup for Salesforce - Componente Veeam Updater versión 7.9.0.1124.
- Veeam Backup para Nutanix AHV - Componente Veeam Updater versión 9.0.0.1125.
- Veeam Backup para AWS - Componente Veeam Updater versión 9.0.0.1126.
- Veeam Backup para Microsoft Azure - Componente Veeam Updater versión 9.0.0.1128.
- Veeam Backup para Google Cloud - Componente Veeam Updater versión 9.0.0.1128.
- Veeam Backup para Oracle Linux Virtualization Manager y Red Hat Virtualization - Componente Veeam Updater versión 9.0.0.1127.
"Si un despliegue de Veeam Backup & Replication no está protegiendo AWS, Google Cloud, Microsoft Azure, Nutanix AHV o Oracle Linux VM/Red Hat Virtualization, dicho despliegue no se ve afectado por la vulnerabilidad", ha señalado la compañía.
Fuente: thehackernews