全球数据保护和灾难恢复解决方案领导者Veeam发布了其旗舰产品Veeam Backup & Replication的关键安全更新，修补了三个漏洞——其中一个可能允许经过身份验证的用户远程执行代码（RCE）。

这三个漏洞中最严重的 CVE-2025-23121 获得了接近最高 9.9 的 CVSS 评分。此漏洞允许经过身份验证的域用户在备份服务器上执行任意代码，从而可能损害备份完整性并支持跨企业网络的横向移动。

“允许经过身份验证的域用户在备份服务器上远程执行代码 （RCE） 的漏洞，”公告解释说。此漏洞影响Veeam Backup & Replication 12.3.1.1139和所有早期版本的12版本，并在12.3.2.3617版本中得到解决。

第二个漏洞 CVE-2025-24286 会影响 Backup Operator 角色，该角色通常分配给委派管理员。该漏洞允许此类用户修改备份作业，从而在某些情况下导致任意代码执行。

尽管没有 RCE 缺陷那么严重，但此漏洞在多用户管理环境中仍然存在重大风险。与第一个问题一样，它在版本 12.3.2.3617 中进行了修补。

第三个漏洞 CVE-2025-24287 是在 Veeam Agent for Microsoft Windows 中发现的，该组件与主 Veeam Backup 套件捆绑在一起。此漏洞使本地用户能够篡改目录内容，从而可能导致系统上的代码执行量增加。

此问题影响版本 6.3.1.1074 及更早版本，并已在 Veeam Agent 6.3.2.1205 中修复。