Veeamバックアップ製品に緊急の脆弱性、今すぐアップデートを

この脆弱性を悪用されると、認証されたADドメインユーザーに任意のコードを実行される可能性がある。

• 

  Veeam RCE bug lets domain users hack backup servers, patch now

脆弱性の情報

脆弱性に関する情報は次のページにまとまっている。

• KB4724: CVE-2025-23120
• By Executive Order, We Are Banning Blacklists - Domain-Level RCE in Veeam Backup & Replication (CVE-2025-23120)

脆弱性の情報(CVE)は次のとおり。

• CVE-2025-23120 - 信用できないデータをデシリアライズする脆弱性。認証されたADドメインユーザーは、「Veeam.Backup.EsxManager.xmlFrameworkDs」および「Veeam.Backup.Core.BackupSummary」クラスのシリアル化されたデータを挿入することで、リモートコード実行(RCE: Remote Code Execution)できる可能性がある(CVSSスコア: 9.9)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

• Veeam Backup & Replication 12.3.0.310およびこれ以前の12系バージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

• Veeam Backup & Replication 12.3.1 (build 12.3.1.1139)

脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Veeam Softwareは当該製品を運用しているユーザーに対し、影響を確認してアップデートまたはホットフィックスの適用を推奨している。