CNCS alerta para falhas de elevada criticidade

O Centro Nacional de Cibersegurança (CNCS) emitiu um alerta relativo a um conjunto de vulnerabilidades críticas identificadas no software Veeam Backup & Replication, que afetam as versões 13.0 a 13.0.1.180, inclusive.

De acordo com a informação divulgada, a Veeam disponibilizou atualizações de segurança para mitigar quatro vulnerabilidades registadas como CVE-2025-55125, CVE-2025-59468, CVE-2025-59469 e CVE-2025-59470. As falhas permitem diferentes formas de execução remota de código e escrita arbitrária de ficheiros, com impacto elevado nos sistemas afetados.

A vulnerabilidade CVE-2025-55125 possibilita a execução arbitrária de código com privilégios de root, explorável por utilizadores com permissões de Backup ou Tape Operator. Já a CVE-2025-59468 permite execução de código com privilégios do serviço de base de dados postgres, exigindo permissões de Backup Administrator.

Foram igualmente identificadas a CVE-2025-59469, que permite a escrita arbitrária de ficheiros com privilégios de root, e a CVE-2025-59470, que possibilita execução remota de código como o utilizador do serviço de base de dados. Ambas podem ser exploradas por utilizadores com permissões de Backup ou Tape Operator.

O CNCS indica que todas estas vulnerabilidades foram corrigidas na versão 13.0.1.1071 do Veeam Backup & Replication. A entidade reforça que é boa prática não expor este tipo de instâncias à Internet, de forma a reduzir a superfície de ataque.

As organizações são aconselhadas a proceder à atualização imediata das plataformas afetadas e a seguir as orientações de segurança publicadas pela Veeam, de modo a mitigar riscos adicionais e garantir a proteção dos ambientes de Backup.