Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad CVE-2025-23120 ha sido calificada con un puntaje CVSS de 9.9 sobre 10, lo que la posiciona como una amenaza crítica. Esta falla permite a usuarios autenticados en el dominio ejecutar código de forma remota (RCE) en el servidor afectado.
El origen del problema radica en una gestión deficiente de la deserialización en Veeam Backup & Replication, lo que permite a los atacantes explotar gadgets de deserialización no bloqueados para inyectar y ejecutar código malicioso en el servidor de respaldo.
Recursos afectados
-
Veeam Backup & Replication versión 12.3.0.310 y anteriores.
-
Servidores de respaldo unidos a un dominio de Active Directory.
Solución
Se recomienda actualizar inmediatamente a la versión 12.3.1 (build 12.3.1.1139) de Veeam Backup & Replication para corregir esta vulnerabilidad.
Recomendaciones
-
Aplicar la actualización de seguridad proporcionada por Veeam.
-
Evitar unir los servidores de respaldo a un dominio de Active Directory, conforme a las mejores prácticas de seguridad de Veeam.
-
Revisar configuraciones y accesos en los servidores de respaldo para evitar posibles ataques.
Referencias