Kritiske sårbarhed i Veeam Backup og Replication

Der er observeret flere kritiske sårbarheder i Veeam Backup & Replication, der kan udnyttes til at opnå forhøjede rettigheder og udføre uautoriserede handlinger på backup-serveren, herunder fjernkodeeksekvering.

Sårbarhederne har følgende id’er 

• EUVD-2026-1513 / CVE-2025-59470. Denne sårbarhed gør det muligt for en Backup-operatør at udføre fjernkodeeksekvering som postgres-bruger ved at sende en ondsindet interval- eller ordreparameter. CVSS-scoren er 9,0.
• EUVD-2026-1517 / CVE-2025-59469. Denne sårbarhed gør det muligt for en backup- eller tapeoperatør at skrive filer som root. CVSS-scoren er 9,0.
• EUVD-2026-1515 / CVE-2025-59468. Denne sårbarhed gør det muligt for en Backup-administrator at udføre fjernkodeeksekvering som postgres-bruger ved at sende en ondsindet adgangskodeparameter. CVSS-scoren er 9,0.
• EUVD-2026-1512 / CVE-2025-55125. Denne sårbarhed gør det muligt for en Backup- eller Tape-operator at udføre fjernkodeeksekvering som root ved at oprette en ondsindet backupkonfigurationsfil. CVSS-scoren er 7,8.

De berørte systemer er Veeam Backup & Replication version 13.0.1.180 og tidligere.

Der er ikke rapporteret om aktiv udnyttelse og EPSS-scoren er pt. 0..

Det anbefales at undersøge og opdatere sårbare installation(er) med det samme, jf. producentens anvisninger.