Veeam ha publicado actualizaciones de seguridad para corregir múltiples fallas en su software de backup y replicación, incluido un problema «crítico» que podría provocar la ejecución remota de código (RCE).

La vulnerabilidad, rastreada como CVE-2025-59470, tiene una puntuación CVSS de 9.0.

«Esta vulnerabilidad permite Operador de copias de seguridad o cintas para realizar la ejecución remota de código (RCE) como usuario de Postgres mediante el envío de un intervalo o parámetro de orden malintencionado», dijo en un boletín del martes.

Según la documentación de Veeam, un usuario con un rol de operador de respaldo puede iniciar y detener trabajos existentes, exportar copias de seguridad, copiar copias de seguridad y crear copias de seguridad de VeeamZIP. Un usuario de Tape Operator, por otro lado, puede ejecutar trabajos de respaldo en cinta o trabajos de catálogo de cintas; expulsar cintas; importar y exportar cintas; mover cintas a un grupo de medios; copiar o borrar cintas; y establecer una contraseña para la cinta.

En otras palabras, estas funciones se consideran altamente privilegiadas y las organizaciones ya deberían estar tomando las protecciones adecuadas para evitar que se utilicen indebidamente.

Veeam dijo que está tratando la deficiencia como «de alta gravedad» a pesar de la puntuación CVSS, y afirma que la oportunidad de explotación se reduce si los clientes siguen las recomendaciones de Veeam Pautas de seguridad .

La empresa también aborda otras tres vulnerabilidades del mismo producto:

  • CVE-2025-55125 (puntuación CVSS: 7.2): una vulnerabilidad que permite a un operador de copias de seguridad o de cintas ejecutar RCE como usuario root mediante la creación de un archivo de configuración de copia de seguridad malintencionado
  • CVE-2025-59468 (Puntuación CVSS: 6,7): una vulnerabilidad que permite a un administrador de copias de seguridad realizar una RCE como usuario de Postgres mediante el envío de un parámetro de contraseña malintencionado
  • CVE-2025-59469 (Puntuación CVSS: 7.2): una vulnerabilidad que permite a un operador de copias de seguridad o de cintas escribir archivos como root

Las cuatro vulnerabilidades identificadas afectan a Veeam Backup & Replication 13.0.1.180 y a todas las versiones anteriores de 13 compilaciones. Se han abordado en la versión 13.0.1.1071 de Backup & Replication.

Si bien Veeam no menciona las fallas que se están explotando en la naturaleza, es esencial que los usuarios apliquen las correcciones con prontitud, dado que vulnerabilidades en el software han sido explotados por actores de amenazas en el pasado.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.