Bleeping Computerは3月20日(米国時間)、「Veeam RCE bug lets domain users hack backup servers, patch now」において、バックアップおよびレプリケーションソフトウェア「Veeam Backup & Replication」から緊急の脆弱性が発見されたと報じた。
この脆弱性を悪用されると、認証されたADドメインユーザーに任意のコードを実行される可能性がある。
脆弱性の情報
脆弱性に関する情報は次のページにまとまっている。
- KB4724: CVE-2025-23120
- By Executive Order, We Are Banning Blacklists - Domain-Level RCE in Veeam Backup & Replication (CVE-2025-23120)
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-23120 - 信用できないデータをデシリアライズする脆弱性。認証されたADドメインユーザーは、「Veeam.Backup.EsxManager.xmlFrameworkDs」および「Veeam.Backup.Core.BackupSummary」クラスのシリアル化されたデータを挿入することで、リモートコード実行(RCE: Remote Code Execution)できる可能性がある(CVSSスコア: 9.9)
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- Veeam Backup & Replication 12.3.0.310およびこれ以前の12系バージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- Veeam Backup & Replication 12.3.1 (build 12.3.1.1139)
脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Veeam Softwareは当該製品を運用しているユーザーに対し、影響を確認してアップデートまたはホットフィックスの適用を推奨している。