Soundflower音频路由技术深度解析:重塑macOS音频生态的虚拟设备方案
2026/1/9 0:30:58
Veeam公司已发布安全更新,修复其备份与复制软件中的多个安全漏洞,其中包括一个可能导致远程代码执行的"严重"漏洞。
该漏洞编号为CVE-2025-59470,CVSS评分高达9.0分。
Veeam在周二发布的安全公告中表示:"该漏洞允许备份操作员或磁带操作员通过发送恶意间隔或排序参数,以postgres用户身份执行远程代码执行攻击。"
根据Veeam的产品文档,拥有备份操作员角色的用户可以启动和停止现有任务、导出备份、复制备份以及创建VeeamZip备份。而磁带操作员用户则可以运行磁带备份任务或磁带目录任务、弹出磁带、导入和导出磁带、将磁带移动到媒体池、复制或擦除磁带,以及设置磁带密码。
换句话说,这些角色被视为高权限用户,企业组织应该已经采取了充分的防护措施,防止这些权限被滥用。
尽管CVSS评分很高,但Veeam表示正将此缺陷视为"高严重性"级别,并指出如果客户遵循Veeam推荐的安全准则,利用该漏洞的机会将会减少。
该公司还修复了同一产品中的其他三个安全漏洞:
CVE-2025-55125(CVSS评分:7.2)- 该漏洞允许备份操作员或磁带操作员通过创建恶意备份配置文件以root身份执行远程代码执行攻击
CVE-2025-59468(CVSS评分:6.7)- 该漏洞允许备份管理员通过发送恶意密码参数以postgres用户身份执行远程代码执行攻击
CVE-2025-59469(CVSS评分:7.2)- 该漏洞允许备份操作员或磁带操作员以root身份写入文件
所有四个已识别的漏洞都影响Veeam备份与复制13.0.1.180版本以及所有更早的13版本构建。这些漏洞已在备份与复制13.0.1.1071版本中得到修复。
虽然Veeam没有提及这些漏洞在实际环境中被利用的情况,但考虑到该软件的漏洞过去曾被威胁行为者利用,用户必须立即应用相关修复程序。
Q&A
Q1:CVE-2025-59470漏洞的危险程度有多高?
A:该漏洞CVSS评分高达9.0分,被归类为严重漏洞。它允许备份操作员或磁带操作员通过发送恶意参数以postgres用户身份执行远程代码执行攻击,具有很高的安全风险。
Q2:哪些Veeam备份与复制版本受到这些漏洞影响?
A:所有四个漏洞都影响Veeam备份与复制13.0.1.180版本以及所有更早的13版本构建。用户需要升级到13.0.1.1071版本来修复这些安全问题。
Q3:企业如何防范这些Veeam备份软件漏洞?
A:企业应该立即将Veeam备份与复制软件升级到最新的13.0.1.1071版本,同时严格管理备份操作员和磁带操作员等高权限用户角色,并遵循Veeam推荐的安全准则来减少被利用的风险。