Detetadas vulnerabilidades que permitem execução remota de código em servidores de backup

A Veeam lançou patches para uma falha de segurança crítica que afeta o software de Backup & Replication e que, em determinadas condições, pode levar à execução remota de código. 

A vulnerabilidade, rastreada como CVE-2025-23121, recebeu uma pontuação CVSS de 9,9, num máximo de 10,0. A vulnerabilidade afeta todas as compilações da versão 12 anterior, incluindo 12.3.1.1139.

A exploração bem-sucedida pode não só comprometer o próprio servidor de backup, mas também fornecer acesso aos dados confidenciais de backup da organização.

A Veeam alertou também para outra falha no mesmo produto. Rastreada como CVE-2025-24286, e com uma pontuação CVSS de 7.2, a vulnerabilidade permite que um utilizador autenticado com a função de Operador de Backup modifique tarefas de backup, o que pode resultar na execução de código arbitrário.

A empresa americana corrigiu ainda, e separadamente, uma vulnerabilidade que afetava o Veeam Agent para Microsoft Windows (CVE-2025-24287, pontuação CVSS: 6,1) que permitia que os utilizadores do sistema local modificassem o conteúdo do diretório, levando à execução de código com permissões elevadas. O problema foi corrigido na versão 6.3.2.

Os especialistas em segurança recomendam que as organizações procedam às atualizações necessárias, dada a natureza crítica da infraestrutura de backup e o potencial de comprometimento dos dados.