- Veeamが5つのバックアップ&レプリケーション欠陥にパッチを当てる
- 3つの重大なRCEバグ (CVE-2026-21666、-21667、-21708) が修正
- 同社が悪用を避けるための即座のアップグレードを促促している
Veeamは最近、バックアップ&レプリケーションソリューションの5つの欠陥にパッチを当てたと述べており、これにはリモートコード実行(RCE)攻撃を許す可能性のある3つの重大度が高い問題が含まれている。
Veeam Backup & Replicationはエンタープライズデータ保護のためのVeeamのフラッグシップ製品である。仮想、物理、クラウドワークロードのバックアップ、リカバリー、レプリケーションを提供し、VMware vSphere、Microsoft Hyper-V、および主要パブリッククラウドをサポートしている。
以下は、同社ウェブサイトに公開されたセキュリティ勧告にリストされている5つのバグの内訳である:
記事は下記に続く
- CVE-2026-21666およびCVE-2026-21667は、認証されたドメインユーザーがバックアップサーバー上でリモートコード実行を実行することを可能にする脆弱性である。どちらも重大度スコア9.9/10(重大)が与えられた。
- CVE-2026-21708、バックアップビューアがpostgresユーザーとしてリモートコード実行を実行することを可能にする脆弱性。これも9.9/10(重大)の重大度スコアが与えられた。
- CVE-2026-21668は、認証されたドメインユーザーが制限をバイパスし、バックアップリポジトリー上の任意のファイルを操作することを許可するバグである。その重大度スコアは8.8/10(高)である。
- CVE-2026-21672、Windowsベースのveeamバックアップ&レプリケーションサーバー上でのローカル権限昇格を可能にする8.8/10(高)の脆弱性。
顧客にパッチ当てを促す
これらのバグはVeeam Backup & Replication 12.3.2.4165およびすべての初期バージョン12ビルドに影響を与え、ビルド12.3.2.4465から修正が開始された。
ハッカーが新しく対処された欠陥をターゲットにすることで知られているため、同社は顧客にできるだけ早くソフトウェアをアップグレードするよう促した:
「脆弱性とそれに関連するパッチが開示されると、攻撃者はパッチをリバースエンジニアリングしてVeeamソフトウェアのパッチが適用されていないデプロイメントを悪用しようとする可能性が高いことに注意することが重要である」と同社は述べた。
「この現実は、すべての顧客が最新バージョンのソフトウェアを使用し、すべてのアップデートとパッチを遅延なくインストールするようにすることの重大な重要性を強調している。」
そしてもちろん、TechRadarのTikTokをフォローしてニュース、レビュー、アンボックス動画を見たり、WhatsAppでも当社から定期的な更新を受け取ることができます。
