Veeam
備份與資料保護軟體廠商Veeam, 於3月12日揭露8個漏洞,受影響的產品是備份軟體Veeam Backup & Replication的12.x版與13版,包括4個CVSS嚴重性評分9.9的重大漏洞,並釋出修補。 解決辦法是將12.x版升級到12.3.2.4465版,將13版升級到13.0.1.1071版。
12.x版涉及的漏洞包括CVE-2026-21666、CVE-2026-21667、CVE-2026-21668、CVE-2026-21672,以及CVE-2026-21708等5個。13版涉及的漏洞則包括CVE-2026-21669、CVE-2026-21670、CVE-2026-21671、CVE-2026-21672與CVE-2026-21708等5個,其中有2個漏洞同時影響到2個版本(CVE-2026-21672與CVE-2026-21708),所以這次揭露與修補的漏洞總數為8個。
這些漏洞中, 最嚴重的是4個CVSS評為9.9分的重大漏洞 ,包括CVE-2026-21666、CVE-2026-21667、CVE-2026-21669與CVE-2026-21708。前3個都會導致經過驗證的網域使用者在備份伺服器上遠端執行程式碼,最後1個漏洞則值得進一步注意,會允許僅具備Backup Viewer角色權限的使用者發起攻擊, 雖然這種角色權限只能透過控制臺查看備份作業、備份與復原資訊,而無法執行系統管理與備份、還原作業,但攻擊者仍可利用這個漏洞, 以內建資料庫postgres的一般使用者身分遠端執行程式碼 。
其他漏洞中, 較嚴重的還有CVSS評為9.1分的CVE-2026-21671,會造成經過驗證、且擁有備份管理員身分(Backup Administrator)的使用者,在高可用性(High Availability,HA)部署架構Veeam備份環境中遠端執行程式碼。
其餘3個漏洞中,CVE-2026-21668的CVSS嚴重性評為8.8分,會造成通過驗證的網域使用者繞過限制任意存取備份儲存庫(Backup Repository)檔案。CVE-2026-21670的CVSS嚴重性評為7.1分,會允許低權限使用者存取SSH憑證,CVE-2026-21672的CVSS嚴重性評為8.8分,會導致攻擊者在Windows版本的備份伺服器上提升本機權限。
熱門新聞
2025-06-02
2026-03-13
2026-03-14
2026-03-13
2026-03-12
2026-03-13
2026-03-13
2026-03-13