In mehreren Versionen von Veeams Backup & Replication klaffen zwei kritische Sicherheitslücken, die die Backup-Lösung verwundbar für Remote Code Execution (RCE), also Schadcode-Ausführung aus der Ferne, durch authentifizierte Domain User machen. Ein Patch schließt die Lücken CVE-2025-48983 und CVE-2025-48984, die jeweils mit einem CVSS-v3.1-Score von 9.9 bewertet wurden und damit kritisch sind.

Von den RCE-Lücken betroffen sind laut Sicherheitshinweis der Entwickler alle Veeam Backup & Replication-Versionen der 12-er Reihe bis einschließlich 12.3.2.3617. Der am heutigen Dienstag veröffentlichte Patch 12.3.2.4165 bannt die Gefahr (siehe Release-Informationen). Zügiges Handeln ist ratsam.

Des Weiteren haben die Entwickler dem Veeam Agent für Windows ein Sicherheitsupdate spendiert. Von der dabei beseitigten Sicherheitslücke CVE-2025-48982 ging ein hohes Risiko aus (CVSS-Score 7.3); sie hätte unter bestimmten Voraussetzungen zur Rechteausweitung missbraucht werden können.

Die Lücke steckt in allen Versionen bis inklusive 6.3.2.1205 und wurde mit dem Build 6.3.2.1302 behoben. Details und Download-Links sind ebenfalls dem aktuellen Sicherheitshinweis zu entnehmen.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

Original Link
(Ursprünglich geschrieben von Heise)