Veeamは、同社のBackup & Replicationソフトウェアに存在し、特定のユーザーが影響を受けるシステム上でコードを実行できてしまう可能性のあるセキュリティ上の欠陥を修正する更新プログラムをリリースしました。
火曜日に公開されたセキュリティアドバイザリによると、CVE-2025-59470として追跡されている主な問題は、Veeam Backup & Replicationのバージョン13の全ビルドに影響します。Veeamは、12.x以前を含む旧製品ラインは、記載されている脆弱性の影響を受けないと述べています。
Veeamによれば、この欠陥により、「Backup Operator」または「Tape Operator」のロールを持つ人物が、悪意のある「interval」または「order」の設定を送信することでリモートコード実行を行える可能性があります。同社は、これにより攻撃者が、製品のデータベースで使用されるアカウントである「postgres」ユーザーとしてコマンドを実行できてしまうと説明しています。
この脆弱性のCVSSスコアは9.0で、通常「重大(critical)」と分類されます。ただしVeeamは、これが悪用できるのは既にそれらのオペレーターロールのいずれかを持つ人物に限られるため、本件を高(high)深刻度として扱っていると述べました。
「Backup OperatorおよびTape Operatorのロールは高い権限を持つロールと見なされるため、それに応じて保護されるべきです」とVeeamはアドバイザリで述べています。同社はまた、同社のセキュリティガイドラインに従うことで、この問題が悪用される可能性を低減できると付け加えました。
Veeamのドキュメントには、これらのロールに紐づく権限が記載されています。Backup Operatorは、既存のバックアップジョブの開始と停止、バックアップのエクスポートまたはコピー(VeeamZipバックアップの作成を含む)が可能です。Tape Operatorは、テープバックアップおよびテープカタログのジョブを実行し、テープの排出、テープのインポートおよびエクスポート、メディアプール間でのテープ移動、テープのコピーまたは消去、テープパスワードの設定が可能です。
Veeamは、この欠陥が社内テスト中に発見されたと述べました。アドバイザリには、同社が攻撃での悪用を確認しているかどうかは記載されていません。
Veeamは、この更新プログラムが他の脆弱性も修正すると述べていますが、「重大」のスコアが付いているのはCVE-2025-59470のみです。
Veeam Backup & Replicationは、サイバー攻撃、ハードウェア障害、その他の中断の後に復旧できるよう、重要なデータやアプリケーションのコピーを作成するために組織で使用されています。
アドバイザリ全文はVeeamのウェブサイトで確認できます。
翻訳元: https://cyberscoop.com/veeam-backup-replication-security-flaw-remote-code-execution-fix/
