Veeam telah merilis pembaruan keamanan untuk mengatasi cacat keamanan kritis yang memengaruhi perangkat lunak cadangan & replikasi yang dapat mengarah pada eksekusi kode jarak jauh.
Kerentanan, dilacak sebagai CVE-2025-23120membawa skor CVSS 9,9 dari 10,0. Ini mempengaruhi 12.3.0.310 dan semua Build versi 12 sebelumnya.
“Kerentanan yang memungkinkan eksekusi kode jarak jauh (RCE) oleh pengguna domain yang diautentikasi,” kata perusahaan itu dalam nasihat yang dirilis Rabu.
Peneliti keamanan Piotr Bazydlo dari Watchtowr telah dikreditkan dengan menemukan dan melaporkan cacat, yang telah diselesaikan dalam versi 12.3.1 (Build 12.3.1.1139).
Menurut Bazydlo dan peneliti Sina Kheirkhah, CVE-2025-23120 berasal dari penanganan Veeam yang tidak konsisten atas mekanisme deserialisasi, menyebabkan kelas yang diizinkan yang dapat dibebaskannya untuk membuka jalan untuk melakukan deserialisasi di dalamnya.
Ini juga berarti bahwa aktor ancaman dapat memanfaatkan gadget deserialisasi yang hilang dari blocklist – yaitu, veeam.backup.esxmanager.xmlframeworkds dan veeam.backup.core.backupsummary – untuk mencapai eksekusi kode jarak jauh.
“Kerentanan ini dapat dieksploitasi oleh pengguna mana pun yang termasuk dalam grup pengguna lokal di host Windows dari server Veeam Anda,” kata para peneliti. “Lebih baik lagi – jika Anda telah bergabung dengan server Anda ke domain, kerentanan ini dapat dieksploitasi oleh pengguna domain mana pun.”
Patch yang diperkenalkan oleh Veeam menambahkan dua gadget ke blocklist yang ada, yang berarti solusinya sekali lagi dapat dianggap rentan terhadap risiko yang sama jika gadget deserialisasi yang layak ditemukan.
Pengembangan datang karena IBM telah mengirimkan perbaikan untuk memulihkan dua bug kritis dalam sistem operasi AIX yang dapat mengizinkan eksekusi perintah.
Daftar kekurangan, yang berdampak pada versi AIX 7.2 dan 7.3, ada di bawah –
- CVE-2024-56346 (Skor CVSS: 10.0) – Kerentanan kontrol akses akses yang tidak tepat yang dapat memungkinkan penyerang jarak jauh untuk menjalankan perintah yang sewenang -wenang melalui layanan master AIX Nimesis NIM
- CVE-2024-56347 (Skor CVSS: 9.6) – Kerentanan kontrol akses akses yang tidak tepat yang dapat memungkinkan penyerang jarak jauh untuk menjalankan perintah sewenang -wenang melalui Layanan AIX NIMSH SSL/TLS Mekanisme Perlindungan
Meskipun tidak ada bukti bahwa salah satu dari kelemahan kritis ini telah dieksploitasi di alam liar, pengguna disarankan untuk bergerak cepat untuk menerapkan tambalan yang diperlukan untuk mengamankan terhadap potensi ancaman.
