Veeam بهروزرسانیهای امنیتی را برای رفع نقص حیاتی با شناسه CVE-2024-42448 (امتیاز CVSS 9.9) که بر Service Provider Console (VSPC) تأثیر میگذارد، منتشر کرد که میتواند راه را برای اجرای کد از راه دور در نمونههای حساس هموار کند.
Veeam در اطلاعیهای گفت: از ماشین مدیریت ایجنت VSPC در شرایطی که ایجنت مدیریت بر روی سرور مجاز باشد، امکان اجرای کد از راه دور (RCE) بر روی ماشین سرور VSPC وجود دارد.
نقص دیگر مربوط به آسیبپذیری با شناسه CVE-2024-42449 (امتیاز CVSS: 7.1) است که میتواند برای افشای هش NTLM اکانت دستگاه سرور VSPC و حذف فایلها در ماشین سرور VSPC مورد سوء استفاده قرار گیرد.
هر دو نقص امنیتی بر نسخه Veeam 8.1.0.21377 و تمام نسخههای قبلی بیلدهای 7 و 8 تأثیر میگذارند و در نسخه 8.1.0.21999 برطرف شدهاند. هیچ گونه اقدام کاهشی برای رفع باگها وجود ندارد و تنها راه حل ارتقاء به آخرین نسخه نرمافزار است.
https://www.bleepingcomputer.com/news/security/veeam-warns-of-critical-rce-bug-in-service-provider-console
https://thehackernews.com/2024/12/veeam-issues-patch-for-critical-rce.html
