Uma vulnerabilidade crítica (CVE-2025-23114, CVSS 9.0) foi descoberta no componente Veeam Updater, uma parte essencial de muitos produtos de backup e replicação da Veeam. Essa vulnerabilidade permite que invasores realizem um ataque Man-in-the-Middle (MitM), potencialmente obtendo permissões de nível root em servidores de appliances afetados.
A vulnerabilidade afeta uma variedade de produtos Veeam, incluindo:
A falha está localizada no Veeam Updater, um componente responsável pelo gerenciamento de atualizações em vários produtos de backup da Veeam. A exploração da CVE-2025-23114 pode permitir que um invasor posicionado entre o appliance Veeam vulnerável e seu servidor de atualização intercepte e manipule solicitações de atualização, injetando código malicioso no sistema. Como essa exploração concede acesso root, os invasores podem comprometer completamente o sistema, resultando em roubo de dados, implantação de ransomware ou acesso persistente à infraestrutura da organização.
A Veeam corrigiu essa vulnerabilidade em versões atualizadas do componente Veeam Updater. A tabela a seguir mostra as versões específicas que resolvem a vulnerabilidade para cada produto afetado:
| Produto | Versão do Updater |
|---|---|
| Veeam Backup for Salesforce | 7.9.0.1124 |
| Veeam Backup for Nutanix AHV | 9.0.0.1125 |
| Veeam Backup for AWS | 9.0.0.1126 |
| Veeam Backup for Microsoft Azure | 9.0.0.1128 |
| Veeam Backup for Google Cloud | 9.0.0.1128 |
| Veeam Backup for Oracle Linux Virtualization Manager e Red Hat Virtualization | 9.0.0.1127 |
Os usuários dos produtos Veeam afetados são fortemente recomendados a atualizar seus sistemas imediatamente. Isso pode ser feito usando o próprio Veeam Updater para atualizar o componente Veeam Updater. Os usuários podem verificar sua versão atual do Updater consultando o histórico de atualizações dentro do produto.
É importante observar que, se você estiver executando o Veeam Backup & Replication 12.3 e já tiver atualizado seus appliances, é provável que não seja afetado por essa vulnerabilidade. No entanto, é sempre recomendável confirmar sua versão do Updater para garantir a segurança do sistema.
Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…
CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…
Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…
ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…
Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…
Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…