Le logiciel Backup & Replication de Veeam est vulnérable à quatre bugs différents, que les pirates peuvent exploiter pour exécuter leur propre code. Des mises à jour sont disponibles.
Veeam a corrigé quatre vulnérabilités dans la version 13.0.1.1071 de Backup & Replication. Les failles de sécurité permettaient, entre autres, l’exécution de code à distance (RCE) et la manipulation non autorisée de fichiers.
Uniquement dans la version 13
Les vulnérabilités affectent exclusivement la version 13.0.1.180 et les versions antérieures de la version 13 de Veeam Backup & Replication. Les versions logicielles plus anciennes, telles que la 12.x, ne sont pas affectées, selon Veeam.
La faille la plus grave, CVE-2025-59470, a reçu un score CVSS de 9.0 et permet aux opérateurs de sauvegarde ou de bande d’exécuter du code en tant qu’utilisateur postgress. Veeam décrit la gravité comme « élevée », car ces rôles d’utilisateur sont considérés comme fortement privilégiés.
Une deuxième faille grave (CVE-2025-55125) a donné aux mêmes rôles d’utilisateur la possibilité d’exécuter du code en tant que root via un fichier de configuration de sauvegarde malveillant. De même, CVE-2025-59469 permettait d’écrire des fichiers en tant que root. Les deux failles ont reçu un score CVSS de 7.2.
Le quatrième problème de sécurité, CVE-2025-59468, concernait une erreur qui permettait à un administrateur de sauvegarde d’exécuter du code en tant qu’utilisateur postgres via un champ de mot de passe manipulé. Cette vulnérabilité a reçu un score CVSS de 6.7.
Correctif disponible
Toutes les vulnérabilités ont été découvertes lors d’audits de code internes et ont été corrigées dans la version 13.0.1.1071 de Veeam Backup & Replication. Veeam souligne l’importance d’une mise à jour rapide, car les personnes mal intentionnées peuvent analyser les mises à jour pour exploiter les vulnérabilités dans les installations plus anciennes et non corrigées.
C’est un risque réel. La plupart des cyberattaques réussies sont la conséquence de failles de sécurité qui sont restées inutilement non corrigées. De plus, les sauvegardes sont des cibles privilégiées des attaquants. En cas d’accès, ils peuvent voler toutes les données en un seul coup et détruire les possibilités de restauration. Les mises à jour nécessaires sont disponibles sur la page de téléchargement officielle de Veeam.