[TLP:CLEAR] Veeam opravuje 3 zranitelnosti
Veeam opravuje 3 zranitelnosti v produktech Veeam Service Provider Console a Veeam Backup & Replication [1][2]. Jednotlivé produkty a jejich opravené verze: Veeam Service Provider Console - 9.2.1.33875 [1] Veeam Backup & Replication - 13.0.2.29 [2]
Autentizovanému vzdálenému útočníkovi je ve Veeam Service Provider Console umožněno spustit libovolný kód [1].
Zranitelnost se nachází v produktu Veeam Service Provider Console ve verzích >=9.0 AND <9.2.1.33875.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Více informací:
- CVE-2026-32998 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-233: Improper Handling of Parameters at cwe.mitre.org
Zranitelnost byla veřejně oznámena 27. 5. 2026.
Autentizovanému vzdálenému útočníkovi s oprávněními Backup Administrator je umožněno zapisovat libovolné soubory na serveru Veeam Backup & Replication (Linux) [2].
Zranitelnost se nachází v produktu Veeam Backup & Replication ve verzích >=13.0 AND <13.0.2.29.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2026-32997 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-36: Absolute Path Traversal at cwe.mitre.org
Zranitelnost byla veřejně oznámena 27. 5. 2026.
Autentizovanému lokálnímu útočníkovi je kvůli zranitelnosti ve Veeam Agent pro Microsoft Windows umožněno zvýšit svá oprávnění [2].
Zranitelnost se nachází v produktu Veeam Backup & Replication ve verzích >=13.0 AND <13.0.2.29.
CVSS: CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/SC:N/VI:H/SI:N/VA:H/SA:N
Více informací:
- CVE-2026-32996 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-532: Insertion of Sensitive Information into Log File at cwe.mitre.org
Zranitelnost byla veřejně oznámena 27. 5. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 29. 5. 2026.
