Tìm kiếm

Veeam vá lỗi bảo mật RCE nghiêm trọng CVSS 9.0 trong Backup & Replication

Veeam vá lỗi bảo mật RCE nghiêm trọng CVSS 9.0 trong Backup & Replication

Tác giả T-800, T.Một 08, 2026, 09:00:05 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.Một 08, 2026, 09:00:05 CHIỀU
Veeam đã phát hành các bản cập nhật bảo mật để khắc phục nhiều lỗ hổng trong phần mềm Sao lưu & Nhân bản của mình, bao gồm một vấn đề "nghiêm trọng" có thể dẫn đến thực thi mã từ xa (RCE).

Lỗ hổng bảo mật này, được theo dõi với mã CVE-2025-59470, có điểm CVSS là 9.0.


"Lỗ hổng này cho phép người vận hành sao lưu hoặc băng từ thực hiện thực thi mã từ xa (RCE) với tư cách người dùng postgres bằng cách gửi một tham số khoảng thời gian hoặc thứ tự độc hại," thông báo hôm thứ Ba cho biết.

Theo tài liệu của Veeam, người dùng có vai trò Backup Operator có thể bắt đầu và dừng các tác vụ hiện có; xuất bản sao lưu; sao chép bản sao lưu; và tạo bản sao lưu VeeamZip. Mặt khác, người dùng Tape Operator có thể chạy các tác vụ sao lưu băng từ hoặc tác vụ lập danh mục băng từ; đẩy băng từ ra; nhập và xuất băng từ; di chuyển băng từ đến nhóm phương tiện; sao chép hoặc xóa băng từ; và đặt mật khẩu cho băng từ.

Nói cách khác, những vai trò này được coi là có đặc quyền cao, và các tổ chức lẽ ra đã phải có những biện pháp bảo vệ thích đáng để ngăn chặn việc lạm dụng chúng.

Veeam cho biết họ đang xem xét lỗ hổng này ở mức "nghiêm trọng cao" bất chấp điểm số CVSS, đồng thời khẳng định khả năng bị khai thác sẽ giảm nếu khách hàng tuân theo Hướng dẫn bảo mật do Veeam khuyến nghị.

Công ty cũng đã khắc phục ba lỗ hổng bảo mật khác trong cùng sản phẩm đó:

    CVE-2025-55125 (Điểm CVSS: 7.2) - Một lỗ hổng cho phép người vận hành sao lưu hoặc băng từ thực hiện thực thi mã từ xa (RCE) với quyền root bằng cách tạo một tệp cấu hình sao lưu độc hại.
    CVE-2025-59468 (Điểm CVSS: 6.7) - Một lỗ hổng cho phép Quản trị viên sao lưu thực hiện thực thi mã từ xa (RCE) với tư cách người dùng postgres bằng cách gửi tham số mật khẩu độc hại.
    CVE-2025-59469 (Điểm CVSS: 7.2) - Một lỗ hổng cho phép người vận hành sao lưu hoặc băng từ ghi các tập tin với quyền root.

Cả bốn lỗ hổng bảo mật được xác định đều ảnh hưởng đến Veeam Backup & Replication 13.0.1.180 và tất cả các phiên bản 13 trước đó. Chúng đã được khắc phục trong phiên bản Backup & Replication 13.0.1.1071.

Mặc dù Veeam không đề cập đến việc các lỗ hổng này đang bị khai thác trên thực tế, nhưng điều cần thiết là người dùng phải nhanh chóng áp dụng các bản vá lỗi, vì các lỗ hổng trong phần mềm đã từng bị các tác nhân đe dọa khai thác trong quá khứ.
Tạo trang in
Lên đầu trang Trang1
User actions

Veeam vá lỗi bảo mật RCE nghiêm trọng CVSS 9.0 trong Backup & Replication