Origine : bjCSIRT
Numéro : 2025/ALERTE/064
Date de l’alerte : 23/10/2025
APERÇU :
Deux vulnérabilités critiques affectant Veeam Backup & Replication permettraient à un acteur malveillant d’exécuter du code à distance.
DESCRIPTION :
Veeam Backup & Replication est un logiciel de sauvegarde et de restauration développé par Veeam Software. Il permet de protéger les machines virtuelles et les environnements cloud, en assurant une sauvegarde fiable et une récupération rapide des données en cas d’incident ou de perte de données.
Ce logiciel est affecté par deux vulnérabilités critiques libellées comme suit :
CVE-2025-48983 : Elle découle d’une validation insuffisante des données traitées par le service Mount de Veeam Backup & Replication, utilisé pour monter temporairement des sauvegardes. Elle permettrait à un acteur malveillant disposant d’un compte authentifié sur le domaine d’exécuter du code arbitraire à distance sur les machines de l’infrastructure de sauvegarde.
CVE-2025-48984 : Elle découle d’une validation insuffisante des entrées traitées par le serveur de sauvegarde de Veeam Backup & Replication. Elle permettrait à un acteur malveillant disposant d’un compte authentifié sur le domaine d’exécuter du code arbitraire à distance sur le serveur de sauvegarde.
Ces vulnérabilités sont classées Critique avec un score de sévérité de 9.9 selon le CVSS V3.0
IMPACT :
- Exécution de code à distance ;
- Compromission de l’intégrité du système ;
- Atteinte à la confidentialité des données ;
- Atteinte à la disponibilité.
SYSTÈMES AFFECTÉS :
- Veeam Backup & Replication 12.3.2.3617 et toutes les versions antérieures ;
MESURES À PRENDRE :
Mettre à jour Veeam Backup & Replication vers 12.3.2.4165
RÉFÉRENCES :
