Kritisk sårbarhed i Veeam Backup software

Der er observeret en kritisk sårbarhed i Veeams Backup software.

Det skriver The Hacker News på baggrund af en advisory fra Veeam, der blev sendt ud tirsdag i denne uge og publiceret på National Vulnerability database i går. 

Sårbarheden har id’et CVE-2025-23114 og Veeam ifølge selv en CVSS-score på 9,0. Der er ikke rapporteret om udnyttelse af CVE-2025-23114. Veeam har tidligere haft fire sårbarheder i CISAs katalog over kendte udnyttede sårbarheder.

Sårbarheden i Veeam Updater-komponenten gør det muligt for en ondsindet aktør med privilegier til ”root” at bruge et "Man-in-the-Middle" angreb til at udføre vilkårlig kode på den berørte serverenhed.

De berørte systemer er:

• Veeam Backup til Salesforce — 3.1 og ældre
• Veeam Backup til Nutanix AHV — 5.0 | 5.1 (Version 6 og nyere er upåvirket af sårbarheden)
• Veeam Backup til AWS — 6a | 7 (Version 8 er upåvirket af sårbarheden)
• Veeam Backup til Microsoft Azure — 5a | 6 (Version 7 er upåvirket af sårbarheden)
• Veeam Backup til Google Cloud — 4 | 5 (Version 6 er upåvirket af sårbarheden)
• Veeam Backup til Oracle Linux Virtualization Manager og Red Hat Virtualization — 3 | 4,0 | 4.1 (Version 5 og nyere er upåvirket af sårbarheden)

Det anbefales at opdatere sårbare systemer.