Veeam a publié des mises à jour de sécurité pour aborder un défaut de sécurité critique impactant son logiciel de sauvegarde et de réplication qui pourrait conduire à l’exécution du code distant.
La vulnérabilité, suivie comme CVE-2025-23120porte un score CVSS de 9,9 sur 10,0. Il affecte 12.3.0.310 et toutes les versions antérieures de la version 12.
“Une vulnérabilité permettant l’exécution du code distant (RCE) par des utilisateurs de domaine authentifiés”, la société dit Dans un avis publié mercredi.
Le chercheur en sécurité Piotr Bazydlo de Watchtowr a été reconnu pour découvrir et signaler le défaut, qui a été résolu dans la version 12.3.1 (build 12.3.1.1139).
Selon Bazydlo et la chercheuse Sina Kheirkhah, le CVE-2025-23120 provient de la gestion incohérente de Veeam du mécanisme de désérialisation, provoquant une classe en liste autorisée qui peut être désérialisée pour ouvrir la voie à une désérialisation intérieure qui implémente une approche basée sur les listes pour prévenir la désérialisation des données considérée comme un risque par l’entreprise.
Cela signifie également qu’un acteur de menace pourrait tirer parti d’un gadget de désérialisation manquant dans la liste de blocs – à savoir, veeam.backup.esxmanager.xmlframeworkds et veeam.backup.core.backupsummary – pour réaliser l’exécution du code distant.
“Ces vulnérabilités peuvent être exploitées par tout utilisateur qui appartient au groupe d’utilisateurs locaux de l’hôte Windows de votre serveur Veeam”, les chercheurs dit. “Mieux encore – si vous avez rejoint votre serveur au domaine, ces vulnérabilités peuvent être exploitées par n’importe quel utilisateur de domaine.”
Le patch introduit par Veeam ajoute les deux gadgets à la liste de blocs existants, ce qui signifie que la solution pourrait à nouveau être rendue sensible à des risques similaires si d’autres gadgets de désérialisation réalisables sont découverts.
Le développement arrive comme IBM correctifs expédiés Pour remédier à deux bogues critiques dans son système d’exploitation AIX qui pourraient permettre l’exécution des commandes.
La liste des lacunes, qui affectent les versions AIX 7.2 et 7.3, est ci-dessous –
- CVE-2024-56346 (CVSS Score: 10.0) – Une vulnérabilité de contrôle d’accès incorrect qui pourrait permettre à un attaquant distant d’exécuter des commandes arbitraires via le service maître AIX Nimesis NIM
- CVE-2024-56347 (Score CVSS: 9.6) – Une vulnérabilité de contrôle d’accès incorrect qui pourrait permettre à un attaquant distant d’exécuter des commandes arbitraires via le mécanisme de protection SSL / TLS du service AIX NIMSH
Bien qu’il n’y ait aucune preuve que l’un de ces défauts critiques a été exploité dans la nature, il est conseillé aux utilisateurs de se déplacer rapidement pour appliquer les correctifs nécessaires pour s’assurer contre les menaces potentielles.