De Backup & Replication-software van Veeam is kwetsbaar voor vier verschillende bugs, die hackers kunnen misbruiken om zelf code uit te voeren. Updates zijn beschikbaar.
Veeam heeft vier kwetsbaarheden opgelost in versie 13.0.1.1071 van Backup & Replication. De beveiligingslekken maakten onder meer remote code execution (RCE) en ongeautoriseerde bestandsmanipulatie mogelijk.
Alleen in versie 13
De kwetsbaarheden treffen uitsluitend versie 13.0.1.180 en oudere builds van versie 13 van Veeam Backup & Replication. Oudere softwareversies zoals 12.x zijn niet getroffen, aldus Veeam.
Het ernstigste lek, CVE-2025-59470, kreeg een CVSS-score van 9.0 en laat Back-up- of Tape-Operatoren toe om code uit te voeren als postgress-gebruiker. Veeam omschrijft de ernst als ‘hoog’, omdat deze gebruikersrollen als sterk geprivilegieerd worden beschouwd.
Een tweede ernstig lek (CVE-2025-55125) gaf dezelfde gebruikersrollen de mogelijkheid om code uit te voeren als root via een malafide back-upconfiguratiebestand. Ook CVE-2025-59469 liet toe om als root bestanden te schrijven. Beide lekken kregen een CVSS-score van 7.2.
Het vierde beveiligingsprobleem, CVE-2025-59468, betrof een fout waarmee een Back-up-beheerder code kon uitvoeren als de postgres-gebruiker via een gemanipuleerd wachtwoordveld. Deze kwetsbaarheid kreeg een CVSS-score van 6.7.
Patch beschikbaar
Alle kwetsbaarheden werden ontdekt tijdens interne code-audits en zijn opgelost in versie 13.0.1.1071 van Veeam Backup & Replication. Veeam benadrukt het belang van tijdig updaten, omdat kwaadwillenden updates kunnen analyseren om kwetsbaarheden in oudere, ongepatchte installaties te misbruiken.
Dat is een reëel risico. Het gros van de succesvolle cyberaanvallen is het gevolg van beveiligingslekken die onnodig ongedicht bleven. De back-ups zijn bovendien geliefkoosde doelwitten van aanvallers. Die kunnen bij toegang in één klap zowel alle data stelen, als herstelmogelijkheden vernietigen. De nodige updates zijn beschikbaar via de officiële downloadpagina van Veeam.