Veeam修复了备份与复制关键漏洞CVE-2025-23120

admin 2025年3月21日10:24:20评论21 views字数 643阅读2分8秒阅读模式
Veeam修复了备份与复制关键漏洞CVE-2025-23120

Veeam已解决了一个关键的安全漏洞,该漏洞编号为CVE-2025-23120(CVSS评分为9.9),影响其备份与复制软件,可能导致远程代码执行

该漏洞影响12.3.0.310及之前的所有12版本,已在版本12.3.1(构建12.3.1.1139)中修复。

“该漏洞允许经过身份验证的域用户执行远程代码(RCE)。”公司发布的公告中写道。

安全研究员watchTowr的Piotr Bazydlo报告了该漏洞。该漏洞源于Veeam实现的反序列化处理存在缺陷,允许攻击者绕过其阻止列表,并利用缺失的gadgets实现远程代码执行

“如果不是我的同事Sina,这项研究永远不会发生。他坚持让我看看Veeam的反序列化机制,如果不是他,我永远不会这样做。”watchTowr写道。“他还为我提供了利用所需的所有知识,因此我只需要专注于简单的事情——gadgets的发现。”

Veeam服务器上的任何本地用户,或如果服务器加入了域,任何域用户都可以利用该漏洞。

Veeam的补丁阻止了已识别的gadgets,但如果发现新的反序列化gadgets,类似风险仍然存在。

“考虑到Veeam代码库的规模,如果其他研究人员现在发现更多可行的反序列化gadgets,我们不会感到惊讶。”watchTowr总结道。“鉴于该解决方案的关键性,以及该解决方案被勒索软件团伙攻击的众所周知和频繁发生,我们很难对此持乐观态度。”

原文始发于微信公众号(黑猫安全):Veeam修复了备份与复制关键漏洞CVE-2025-23120

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月21日10:24:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Veeam修复了备份与复制关键漏洞CVE-2025-23120https://cn-sec.com/archives/3866592.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息