Corrigidas falhas críticas no Backup Server

A Veeam lançou uma atualização de segurança crítica para o Veeam Backup & Replication que corrige várias vulnerabilidades capazes de permitir execução remota de código e escalada de privilégios em servidores de backup.

A atualização, disponibilizada a 12 de março de 2026 e identificada como build 12.3.2.4465, resolve três vulnerabilidades classificadas como críticas, todas com pontuação CVSS de 9,9.

A primeira, CVE-2026-21666, permite que um utilizador autenticado no domínio execute código remoto diretamente no Veeam Backup Server. A segunda, CVE-2026-21667, apresenta um vetor semelhante, possibilitando igualmente execução remota de código e potencial comprometimento total do sistema.

Já a CVE-2026-21708 permite a execução de código remoto a partir de uma conta com permissões Backup Viewer, explorando o utilizador interno PostgreSQL e permitindo controlo não autorizado de processos da base de dados.

Além destas falhas críticas, a atualização corrige duas vulnerabilidades de elevada gravidade, ambas com pontuação CVSS de 8,8. A CVE-2026-21668 permite a um utilizador autenticado contornar restrições e manipular ficheiros arbitrários num Backup Repository, colocando em risco a integridade das cópias de segurança.

A CVE-2026-21672 corresponde a uma vulnerabilidade de escalada de privilégios local em servidores Windows que executam Veeam Backup & Replication, permitindo que um atacante com acesso limitado aumente os seus privilégios no sistema.

Para além da correção das vulnerabilidades, a nova build inclui atualizações de componentes internos, como Decode-uri-component (0.2.2), Newtonsoft.Json (13.0.3) e Path-to-RegExp (1.9.0), com o objetivo de reforçar a segurança geral da plataforma.

A atualização também resolve problemas operacionais, incluindo um erro de desserialização que poderia causar falhas no restauro de itens PostgreSQL iniciados a partir do Enterprise Manager. Foi ainda corrigida a atualização da chave pública GPG utilizada para validar pacotes em servidores RHEL configurados com o perfil DISA STIG.

A Veeam recomenda que os administradores apliquem o patch de segurança com prioridade. Sistemas que executam a versão 12.3.2 (builds 12.3.2.3617 ou 12.3.2.4165) podem aplicar um patch dedicado disponibilizado em formato ISO ou EXE. Instalações que utilizem versões anteriores, como 12.3.1 ou anteriores, deverão atualizar através do pacote completo de instalação para a versão segura 12.3.2.4465.

A empresa recomenda ainda verificar a versão instalada através da consola Veeam Backup & Replication antes de proceder à atualização.