Origine : bjCSIRT
Numéro : 2025/ALERTE/010
Date de l’alerte : 06/02/2025
APERÇU :
Une vulnérabilité dans le composant Updater de Veeam Backup permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire à distance.
DESCRIPTION :
Veeam Backup est une solution de sauvegarde et de restauration des données. Cette solution permet une restauration vérifiée et granulaire de tous les actifs stratégiques, dans n’importe quel environnement ou application, pour assurer le respect des SLA.
Ce produit est affecté par une vulnérabilité libellée CVE-2025-23114, qui permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire via une attaque de type l’Homme du milieu (Man-in-the-Middle), en raison de l’absence d’une validation correcte du certificat TLS.
Cette vulnérabilité est classée critique avec un score CVSS3 de 9.0.
IMPACT :
- Exécution de code arbitraire ;
- Atteinte à la confidentialité des données ;
- Atteinte à l’intégrité des données.
SYSTÈMES AFFECTÉS :
- Veeam Backup pour Salesforce versions 3.1 et antérieures ;
- Veeam Backup pour Nutanix AHV versions 5.1 et antérieures ;
- Veeam Backup pour AWS versions 7 et antérieures ;
- Veeam Backup pour Microsoft Azure versions 6 et antérieures ;
- Veeam Backup pour Google Cloud versions 5 et antérieures ;
- Veeam Backup pour Oracle Linux Virtualization Manager and Red Hat Virtualization versions 4.1 et antérieures.
MESURES À PRENDRE :
Mettre à jour Veeam Backup vers les versions suivantes :
- Veeam Backup pour Salesforce : 7.9.0.1124 ;
- Veeam Backup pour Nutanix AHV : 9.0.0.1125 ;
- Veeam Backup pour AWS : 9.0.0.1126 ;
- Veeam Backup pour Microsoft Azure : 9.0.0.1128 ;
- Veeam Backup pour Google Cloud : 9.0.0.1128 ;
- Veeam Backup pour Oracle Linux Virtualization Manager et Red Hat Virtualization : 9.0.0.1127.
RÉFÉRENCES :
