一�、漏洞詳情
Veeam Backup & Replication是一款企業(yè)級(jí)備份和災(zāi)難恢復(fù)解決方案����,主要用于虛擬化環(huán)境中的數(shù)據(jù)保護(hù)。
近日,監(jiān)測(cè)到Veeam官方發(fā)布CVE-2025-23120安全公告,指出Veeam Backup & Replication存在反序列化漏洞�����。攻擊者可利用Veeam代碼庫(kù)或第三方庫(kù)中未識(shí)別的反序列化小工具(gadgets)�����,在域用戶權(quán)限下執(zhí)行遠(yuǎn)程代碼�����。攻擊者通過(guò)xmlFrameworkDs類觸發(fā)DataSet的反序列化機(jī)制��,利用DataSet類中的已知漏洞執(zhí)行惡意代碼����。BackupSummary類也存在相同問(wèn)題,攻擊者可通過(guò)該漏洞在備份服務(wù)器上執(zhí)行任意代碼���。該漏洞可能導(dǎo)致數(shù)據(jù)泄露和系統(tǒng)控制�。
建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊�。
二、影響范圍
Veeam Backup & Replication <= 12.3.0.310
三���、修復(fù)建議
Veeam已發(fā)布了12.3.1版本(構(gòu)建號(hào)12.3.1.1139)來(lái)修復(fù)此漏洞�。建議用戶盡快將軟件更新至此版本���,以確保系統(tǒng)安全