Veeam ha publicado actualizaciones de seguridad para abordar una falla de seguridad cr铆tica que impacta su software de copia de seguridad y replicaci贸n que podr铆a conducir a la ejecuci贸n de c贸digo remoto.
La vulnerabilidad, rastreada como CVE-2025-23120lleva un puntaje CVSS de 9.9 de 10.0. Afecta 12.3.0.310 y todas las construcciones anteriores de la versi贸n 12.
芦Una vulnerabilidad que permite la ejecuci贸n de c贸digo remoto (RCE) por parte de usuarios de dominio autenticados禄, dijo la compa帽铆a en un aviso publicado el mi茅rcoles.
El investigador de seguridad Piotr Bazydlo de WatchToWr ha sido acreditado por descubrir e informar el defecto, que se ha resuelto en la versi贸n 12.3.1 (construir 12.3.1.1139).
Seg煤n Bazydlo y el investigador Sina Kheirkhah, CVE-2025-23120 proviene del manejo inconsistente de Veeam del mecanismo de deserializaci贸n, lo que provoca una clase de lista permitida que pueda deserializarse para que pavimenten el camino para una deserializaci贸n interna que implementa un enfoque basado en bloques para prevenir la deserializaci贸n de la deserializaci贸n de los datos considerados por la compa帽铆a.
Esto tambi茅n significa que un actor de amenaza podr铆a aprovechar un dispositivo de deserializaci贸n que falta en la lista de blocklist, a saber, veeam.backup.esxmanager.xmlframeworkds y veeam.backup.core.backupsummary, para lograr la ejecuci贸n de c贸digo remoto.
芦Estas vulnerabilidades pueden ser explotadas por cualquier usuario que pertenezca al grupo de usuarios locales en el host de Windows de su servidor Veeam禄, dijeron los investigadores. 芦Mejor a煤n: si se ha unido a su servidor al dominio, estas vulnerabilidades pueden ser explotadas por cualquier usuario de dominio禄.
El parche introducido por Veeam agrega los dos dispositivos a la lista de bloques existente, lo que significa que la soluci贸n podr铆a volver a ser susceptible a riesgos similares si se descubren otros dispositivos de deserializaci贸n factibles.
El desarrollo se produce cuando IBM ha enviado correcciones para remediar dos errores cr铆ticos en su sistema operativo AIX que podr铆a permitir la ejecuci贸n de comandos.
La lista de deficiencias, que afectan las versiones AIX 7.2 y 7.3, est谩 a continuaci贸n –
- CVE-2024-56346 (Puntuaci贸n CVSS: 10.0): una vulnerabilidad de control de acceso inadecuado que podr铆a permitir que un atacante remoto ejecute comandos arbitrarios a trav茅s del servicio maestro AIX Nimesis Nim
- CVE-2024-56347 (Puntuaci贸n CVSS: 9.6): una vulnerabilidad de control de acceso inadecuado que podr铆a permitir que un atacante remoto ejecute comandos arbitrarios a trav茅s del mecanismo de protecci贸n del servicio AIX NIMSH SSL/TLS
Si bien no hay evidencia de que se haya explotado ninguno de estos defectos cr铆ticos en la naturaleza, se aconseja a los usuarios que se muevan r谩pidamente para aplicar los parches necesarios para asegurar contra posibles amenazas.
