Resumen ejecutivo
Veeam ha reportado múltiples vulnerabilidades críticas que permiten la ejecución remota de código (RCE) y la escalada de privilegios en su software de respaldo. La CVE-2026-21669 (CVSS 9.9) permite a un usuario del dominio autenticado ejecutar código en el servidor de respaldo, comprometiendo datos y sistemas. Similarmente, la CVE-2026-21708 (CVSS 9.9) permite a un Backup Viewer ejecutar código como el usuario postgres, lo que podría resultar en el control total del sistema. Otras vulnerabilidades incluyen la CVE-2026-21671 (CVSS 9.1) que afecta a Backup Administrators en entornos de alta disponibilidad, y la CVE-2026-21672 (CVSS 8.8) que permite la escalada de privilegios locales en servidores Windows. Se requiere una actualización urgente a las versiones corregidas para mitigar estos riesgos, y actualmente no se ha reportado explotación activa.
Recursos afectados
- Veeam Backup & Replication (13.0.1.2067)
- Veeam Backup & Replication (13.0.1.1071 y todas las versiones anteriores de la construcción 13)
- Veeam Software Appliance (afectada por vulnerabilidades específicas en diversas configuraciones)
- Veeam Agent for Linux (actualizado para abrir puertos 2500-3300)
Análisis técnico
- CVE-2026-21669: Se ha identificado una vulnerabilidad que permite a un usuario del dominio autenticado ejecutar código de forma remota (RCE) en el servidor de respaldo. Esto podría resultar en el compromiso de datos y la alteración del sistema afectado. Para explotar esta falla, el atacante debe ser un usuario autenticado dentro del dominio.
- CWE N/A
- CVSS: 9.9 (crítica)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2026-21708: Se ha identificado una vulnerabilidad que permite a un Backup Viewer ejecutar código de forma remota (RCE) como el usuario postgres. El impacto potencial incluye la toma de control del sistema afectado. Para aprovechar esta vulnerabilidad, un atacante debe tener acceso al Backup Viewer.
- CWE N/A
- CVSS: 9.9 (crítica)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2026-21671: Se ha identificado una vulnerabilidad que permite a un usuario autenticado con el rol de Backup Administrator ejecutar código de forma remota (RCE) en implementaciones de alta disponibilidad (HA) de Veeam Backup & Replication. Esto podría permitir a un atacante comprometer el sistema y afectar la disponibilidad de los datos. Para explotar esta vulnerabilidad, el atacante debe tener acceso al rol mencionado.
- CWE N/A
- CVSS: 9.1 (crítica)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2026-21672: Se ha identificado una vulnerabilidad que permite la escalación de privilegios locales en servidores Veeam Backup & Replication basados en Windows. Esta brecha de seguridad podría permitir a un atacante obtener control elevado del sistema, lo que podría resultar en un acceso no autorizado a datos sensibles. La explotación de esta vulnerabilidad requiere que el atacante tenga acceso local al servidor afectado.
- CWE N/A
- CVSS: 8.8 (alta)
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2026-21670: Se ha identificado una vulnerabilidad que permite a un usuario con bajos privilegios extraer credenciales SSH guardadas. Esto podría comprometer la seguridad del sistema, permitiendo el acceso no autorizado. Para explotar esta vulnerabilidad, el atacante necesita tener acceso al entorno donde se almacenan dichas credenciales.
- CWE N/A
- CVSS: 7.7 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
- Explotación: No detectada
Mitigación / Solución
Para mitigar los problemas de seguridad descritos, el fabricante recomienda utilizar la versión Veeam Backup & Replication 13.0.1.2067 o superior, ya que todas las vulnerabilidades documentadas se resolvieron en esta actualización. Es crucial que los clientes aseguren que están utilizando las últimas versiones del software y que instalen todas las actualizaciones y parches de inmediato, debido a que los atacantes pueden intentar explotar las implementaciones no actualizadas tras la divulgación de las vulnerabilidades y sus parches.