一����、漏洞詳情
Veeam Backup & Replication是一款企業(yè)級備份和災(zāi)難恢復(fù)解決方案,主要用于虛擬化環(huán)境中的數(shù)據(jù)保護(hù)���。
近日,監(jiān)測到Veeam官方發(fā)布CVE-2025-23120安全公告�����,指出Veeam Backup & Replication存在反序列化漏洞。攻擊者可利用Veeam代碼庫或第三方庫中未識別的反序列化小工具(gadgets)��,在域用戶權(quán)限下執(zhí)行遠(yuǎn)程代碼。攻擊者通過xmlFrameworkDs類觸發(fā)DataSet的反序列化機(jī)制�����,利用DataSet類中的已知漏洞執(zhí)行惡意代碼�。BackupSummary類也存在相同問題�����,攻擊者可通過該漏洞在備份服務(wù)器上執(zhí)行任意代碼。該漏洞可能導(dǎo)致數(shù)據(jù)泄露和系統(tǒng)控制����。
建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作��,以免遭受黑客攻擊�。
二�����、影響范圍
Veeam Backup & Replication <= 12.3.0.310
三、修復(fù)建議
Veeam已發(fā)布了12.3.1版本(構(gòu)建號12.3.1.1139)來修復(fù)此漏洞����。建議用戶盡快將軟件更新至此版本,以確保系統(tǒng)安全