Veeam Backup & Replication Sicherheitslücken entdeckt

Veeam hat zwei Sicherheitsmeldungen für Veeam Backup & Replication veröffentlicht. Das Update 12.3.2.4465 schließt diese Lücken. Über zwei Lücken können authentifizierte Domain-Benutzer Schadcode aus dem Netz auf dem Backup-Server ausführen (CVE-2026-21666 und CVE-2026-21667, beide CVSS 9,9, Risiko „kritisch”). Angemeldete Domain-Benutzer können außerdem Zugriffsbeschränkungen umgehen und beliebige Dateien in Backup-Repositories verändern (CVE-2026-21668, CVSS 8.8, Risiko „hoch”). Zudem ist die Ausweitung der Rechte auf Windows Backup & Replication Servern möglich (CVE-2026-21672, CVSS 8.8, Risiko „hoch”). Die Versionen 12, 12.1, 12.2, 12.3, 12.3.1 und 12.3.2 von Veeam Backup & Replication sollen diese Lücken schließen.

Eine zweite Sicherheitsmitteilung beschreibt mehrere Schwachstellen, die mit der Version Veeam Backup & Replication 13.0.1.2067 behoben wurden. Eine dieser Lücken ermöglicht es angemeldeten Domain-Nutzern, Schadcode aus dem Internet auf dem Backup-Server auszuführen (CVE-2026-21669, CVSS 9,9, Risiko „kritisch”).

In Hochverfügbarkeitsumgebungen (High Availability, HA) von Veeam Backup & Replication können Benutzer mit der Rolle „Backup-Administrator“ ebenfalls beliebigen Code ausführen (CVE-2026-21671, CVSS 9.1, Risiko „kritisch“).

Darüber hinaus betrifft eine Schwachstelle zur Rechteausweitung (CVE-2026-21672) den Entwicklungszweig der Version 13.
Zusätzlich können Nutzer mit eingeschränkten Rechten gespeicherte SSH-Zugangsdaten auslesen (CVE-2026-21670, CVSS 7.7, Risiko „hoch”).

In den Versionen 12 und 13 können Nutzer mit der Rolle „Backup-Viewer“ Codes aus dem Netz als User „postgres“ ausführen (CVE-2026-21708, CVSS 9.9, Risiko „kritisch“). Zudem passt die Version den Port-Range des Veeam Agent für Linux an.