Veeam hat am 14. Oktober 2025 das Patch-Update Veeam Backup & Replication 12.3.2.4165 veröffentlicht, das mehrere kritische Sicherheitslücken schließt.
CVE-2025-48983 und CVE-2025-48984 betreffen die Mount- und Backup-Dienste und ermöglichen Remote Code Execution (RCE) auf Domain-gebundenen Veeam-Servern durch authentifizierte Domain-Benutzer. Beide Schwachstellen wurden mit einem CVSS-Score von 9.9 (kritisch) bewertet.
Ebenfalls behoben wurde CVE-2025-48982 in Veeam Agent for Microsoft Windows, die bei der Wiederherstellung manipulierter Dateien eine lokale Privilegienerweiterung erlaubt (CVSS 7.3, hoch).
Betroffen sind alle Version-12-Builds bis 12.3.2.3617 sowie ältere Agent-Versionen. Die neuen Versionen 12.3.2.4165 (Backup & Replication) und 6.3.2.1302 (Agent) enthalten die Fixes.
Veeam warnt, dass Angreifer Patches häufig rückentwickeln, und empfiehlt dringend, die Updates sofort zu installieren, insbesondere auf Domain-gebundenen Systemen.
