Beveiligingslek CVE-2025-23120 in Veeam Backup & Replication

Dit lek heeft een CVSS v3.1 score van 9.9, wat aangeeft dat het zeer ernstig is.

Details van het probleem:

• CVE-2025-23120: Een kwetsbaarheid die uitvoering van code op afstand (RCE) mogelijk maakt door geauthenticeerde domeingebruikers.
• Ernstigheid: Kritiek
• CVSS v3.1 Score: 9.9
• Bron: Gerapporteerd door Piotr Bazydlo van watchTowr.
• Opmerking: Dit beveiligingslek treft alleen back-upservers die aan een domein zijn toegevoegd.

Getroffen producten:

• Veeam Backup & Replication 12.3.0.310 en alle eerdere versies van build 12.

Oplossing:

Veeam heeft een oplossing uitgebracht in de volgende build:

• Veeam Backup & Replication 12.3.1 (build 12.3.1.1139)

Voor klanten die niet direct kunnen upgraden naar versie 12.3.1, is er een hotfix beschikbaar voor Veeam Backup & Replication 12.3 (build 12.3.0.310).

Belangrijke opmerkingen over de hotfix:

• De hotfix kan alleen worden geïnstalleerd als er geen andere hotfixes zijn geïnstalleerd voor Veeam Backup & Replication 12.3, omdat het eerdere hotfixes kan overschrijven.
• Als er al andere hotfixes voor versie 12.3 zijn geïnstalleerd, moet de implementatie worden bijgewerkt naar 12.3.1.
• Download de hotfix via de link die in het originele artikel staat.
• De hotfix is alleen compatible met build 12.3.0.310.
• Filename: VeeamBackup&Replication_12.3.0.310_KB4724.zip
• MD5: 5185235DEA2AC9F2814638534B16A6DB
• SHA1: 4B1C3A7F2F051D958EAF363E2739B1B38C4A4F8C

Aanbevelingen:

• Veeam raadt aan om zo snel mogelijk te upgraden naar Veeam Backup & Replication 12.3.1 (build 12.3.1.1139) om dit beveiligingslek te verhelpen.
• Als een directe upgrade niet mogelijk is, installeer dan de hotfix voor Veeam Backup & Replication 12.3 (build 12.3.0.310).
• Zorg er voor dat alle systemen die Veeam Backup & Replication draaien up to date zijn.
• Let op dat aanvallers het lek kunnen proberen te misbruiken zodra de details bekend zijn.