Bom dia pessoal!
No dia de hoje a Veeam publicou a atualização de segurança KB4738 para corrigir múltiplas vulnerabilidades críticas no Veeam versão 13. A falhas encontradas podem permitir execução remota de código (RCE), escalonamento de privilégios e acesso indevido a credenciais.
A aplicação afetada é o Veeam Backup & Replication da versão 13.0 até a versão 13.0.1.1071. A nova build passa a ser a 13.0.1.2067 e as coreções de segurança foram a seguinte:
-
CVE-2026-21669 | Severidade: Crítica (9.9)Uma vulnerabilidade que permite que um usuário de domínio autenticado execute código remotamente (RCE) no servidor de Backup.
-
CVE-2026-21670 | Severidade: Alta (7.7)Uma vulnerabilidade que permite que um usuário com poucos privilégios extraia credenciais SSH salvas.
-
CVE-2026-21671 | Severidade: Crítica (9.1)Uma vulnerabilidade que permite que um usuário autenticado com a função de Administrador de Backup execute código remotamente (RCE) em implantações de alta disponibilidade (HA) do Veeam Backup & Replication.
-
CVE-2026-21672 | Severidade: Alta (8.8)Uma vulnerabilidade que permite escalonamento de privilégios local em servidores Windows com Veeam Backup & Replication.
-
CVE-2026-21708 | Severidade: Crítica (9.9)Uma vulnerabilidade que permite que um Backup Viewer execute código remotamente (RCE) como o usuário postgres.
Além disso tiveram diversas outras features referente a Scale-Out Backup Repository, Object Storage Repository, Restore to Microsoft Azure, File-Level Restore, Microsoft Entra ID dentre outros, que tiveram problemas corrigidos.
É recomendado aplicar a atualização imediatamente em ambientes que executam Veeam Backup & Replication versão 13.
As versões anteriores do Veeam Backup & Replication 12 não são afetadas por essas vulnerabilidades específicas.
Veja a relação de todas as versões do Veeam aqui.
