Back-upsoftware Veeam bevat beveiligingsgaten met CVSS-scores van 9,9

In dit artikel:

Veeam heeft een patch uitgebracht voor Backup & Replication 12 (versie 12.3.2.4165) die drie ernstige beveiligingslekken dicht. Twee van die kwetsbaarheden (CVE-2025-48983 en CVE-2025-48984) scoren 9,9 op de CVSS-schaal en kunnen een aanvaller — mits die al geauthenticeerd is in het Active Directory-domein waar de back-upserver draait — op afstand eigen code laten uitvoeren. De derde (CVE-2025-48982, CVSS 7,3) maakt het mogelijk om lokale rechten te verhogen als een beheerder een kwaadaardig bestand herstelt. De patch, die dinsdag is vrijgegeven, geldt rechtstreeks voor 12.3, 12.3.1 en 12.3.2; wie nog op 12.0–12.2 draait, moet eerst een tussenrelease installeren. Veeam benadrukt dat de twee 9,9-kwetsbaarheden alleen spelen bij back-upservers die aan een AD-domein zijn gekoppeld (een opstelling die de leverancier niet als best practice aanbeveelt) en meldt dat versie 13 niet door deze twee is getroffen. Advies: snel updaten en best practices voor netwerkisolatie en accountgebruik volgen.