資料保護公司 Veeam Software 已修復其備份和複製解決方案中的多個缺陷，其中包括四個嚴重的遠端程式碼執行 (RCE) 漏洞。VBR 是一款企業資料備份和復原軟體，可協助 IT 管理員建立關鍵資料的副本，以便在網路攻擊和硬體故障後快速復原。

今天修復了三個 RCE 安全漏洞（編號分別為CVE-2026-21666、CVE-2026-21667和CVE-2026-21669），這些漏洞允許低權限網域使用者在易受攻擊的備份伺服器上執行遠端程式碼，從而進行低複雜度的攻擊。

第四個漏洞（追蹤編號為CVE-2026-21708）允許備份檢視器以 postgres 使用者身分取得遠端程式碼執行權限。Veeam 還修復了幾個高風險安全漏洞，這些漏洞可被利用來提升基於 Windows 的 Veeam Backup & Replication 伺服器上的權限、提取保存的 SSH 憑證以及繞過限制來操縱備份儲存庫上的任意檔案。

這些漏洞是在內部測試中發現的，或透過 HackerOne 報告的，並在 Veeam Backup & Replication 版本12.3.2.4465和13.0.1.2067中解決。Veeam 也警告管理員盡快將軟體升級到最新版本，因為威脅行為者通常會在修補程式發布後不久就開始開發漏洞程式。

該公司警告：「值得注意的是，一旦漏洞及其相關修補程式被揭露，攻擊者很可能會嘗試對修補程式進行逆向工程，以利用未打補丁的 Veeam 軟體部署，這一現實凸顯了確保所有客戶使用我們軟體的最新版本並及時安裝所有更新和修補程式的重要性。」

資料來源：https://www.bleepingcomputer.com/news/security/veeam-warns-of-critical-flaws-exposing-backup-servers-to-rce-attacks/