聚焦源代码安全网罗国内外最新资讯编译代码卫士Veeam修复了可导致攻击者执行远程代码和提升权限的三个严重漏洞CVSS 3.1评分均为9.9分。三个严重漏洞CVE-2026-21666可导致经身份认证的域用户直接在 Veeam 备份服务器上执行任意远程代码。CVE-2026-21667和前一个漏洞类似可导致经身份认证的域用户在备份服务器上触发远程代码执行漏洞可能导致系统遭完全攻陷。CVE-2026-21708可导致具有 Backup Viewer 权限的攻击者以内部 PostgreSQL用户的身份执行RCE导致对后端数据库进程拥有未授权控制权限。两个高危漏洞除了以上三个严重漏洞外Veeam 还修复了CVSS评分为8.8的两个高危漏洞。CVE-2026-21668是一个限制绕过漏洞可导致经身份认证的域用户操作位于 Backup Repository 上的任意文件威胁备份完整性。CVE-2026-21672是一个本地提权漏洞影响基于 Windows 的 Veeam Backup Replication 服务器可导致具有有限本地访问权限的攻击者提升系统权限。技术改进和修复方案除了修复以上CVE漏洞外新版本 build 12.3.2.4465 还升级了核心组件以提升系统的整体安全性。补丁将 Decode-uri-component 升级至版本0.2.2、Newtonsoft.Json 升级至13.0.3以及Path-to-RegExp 升级至1.9.0。此次更新还解决了若干操作问题。对于启用了DISA STIG配置文件的RHEL基础设施服务器更新系统用于验证Veeam软件包的公共GPG密钥现在将被正确更新。Veeam建议在本次更新期间暂时关闭fapolicyd服务以确保顺利过渡。此外本次更新修复了一个反序列化错误该错误此前导致从Enterprise Manager启动的PostgreSQL项目恢复操作失败。Veeam强烈建议管理员立即应用此安全补丁。要验证当前版本用户可打开Veeam Backup Replication控制台的主菜单导航至“帮助”然后选择“关于”。当前运行12.3.2版本内部版本号为12.3.2.3617或12.3.2.4165的组织机构可下载并应用一个较小的专用补丁文件该文件以ISO或EXE格式提供。运行旧版本例如12.3.1或更早版本的部署必须使用完整的安装ISO镜像才能升级到安全的12.3.2.4465版本。在运行安装程序之前务必先解除已下载文件的锁定以防止操作错误。分享关于这些问题的专业技术新闻页有助于确保这些关键更新能够送达最需要它们的系统管理员手中。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读Veeam 修复备份服务器中的RCE漏洞Veeam RCE漏洞导致域用户入侵备份服务器Veeam 修复Backup Replication 中的严重RCE漏洞Veeam 提醒注意VSPC中的严重RCE漏洞Veeam 修复5个严重漏洞原文链接https://cybersecuritynews.com/veeam-backup-server-vulnerabilities/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~