Bleeping Computerは3月20日(米国時間)、「Veeam RCE bug lets domain users hack backup servers, patch now」において、バックアップおよびレプリケーションソフトウェア「Veeam Backup & Replication」から緊急の脆弱性が発見されたと報じた。

この脆弱性を悪用されると、認証されたADドメインユーザーに任意のコードを実行される可能性がある。

  • Veeam RCE bug lets domain users hack backup servers、patch now

    Veeam RCE bug lets domain users hack backup servers, patch now

脆弱性の情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-23120 - 信用できないデータをデシリアライズする脆弱性。認証されたADドメインユーザーは、「Veeam.Backup.EsxManager.xmlFrameworkDs」および「Veeam.Backup.Core.BackupSummary」クラスのシリアル化されたデータを挿入することで、リモートコード実行(RCE: Remote Code Execution)できる可能性がある(CVSSスコア: 9.9)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • Veeam Backup & Replication 12.3.0.310およびこれ以前の12系バージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • Veeam Backup & Replication 12.3.1 (build 12.3.1.1139)

脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Veeam Softwareは当該製品を運用しているユーザーに対し、影響を確認してアップデートまたはホットフィックスの適用を推奨している。