-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Veeam Backup & Replication Advisory ID : NCSC-2026-0096 Versie : 1.00 Kans : medium CVE ID : CVE-2026-21666, CVE-2026-21667, CVE-2026-21668, CVE-2026-21670, CVE-2026-21671, CVE-2026-21672, CVE-2026-21708 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Input Validation Uitgiftedatum : 20260312 Toepassing : Veeam Backup & Replication Veeam Software Appliance Versie(s) : Platform(s) : Beschrijving Veeam heeft kwetsbaarheden verholpen in Veeam Backup & Replication. De kwetsbaarheden stellen een geauthenticeerde domeingebruiker in staat om op afstand code uit te voeren op de backupserver, wat kan leiden tot ongeautoriseerde controle over backupoperaties. Dit probleem is aanwezig in de backupserveromgeving en kan worden geƫxploiteerd via geauthenticeerde toegang. Daarnaast kunnen geauthenticeerde gebruikers beperkingen omzeilen en de mogelijkheid krijgen om willekeurige bestanden binnen een backuprepository te manipuleren, wat kan leiden tot gegevensmanipulatie of -corruptie. Een aanvaller met beperkte rechten kan toegang krijgen tot opgeslagen SSH-credentials, wat kan leiden tot ongeautoriseerde toegang tot kritieke systemen. De kwetsbaarheid in de hoge beschikbaarheid van Veeam Backup & Replication kan worden geƫxploiteerd door een geauthenticeerde gebruiker met de rol van Backup Administrator, wat kan leiden tot compromittering van het systeem. Verder kan een aanvaller met lokale toegang zijn privileges verhogen, wat de beveiligingscontext van backup- en replicatieprocessen in gevaar kan brengen. Tot slot kan een Backup Viewer op afstand code uitvoeren met de privileges van de 'postgres'-gebruiker, wat kan leiden tot ongeautoriseerde acties binnen de databaseomgeving. Mogelijke oplossingen Veeam heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://www.veeam.com/kb4830 Reference https://www.veeam.com/kb4831 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmmy06kACgkQgupWoL0Z hGGFlgv+NxP2PLBQjpPEOl24yWjxR9biU/1jzjCnKKpgV4KmTnnYNCeM5NNLenkY XMEmD6/asVRMvcDkwXmtHdgKFdb7L3FbUUNXS55TUG17q+lPDrdTaXpVJ2bB+GAA rhsR3wiEa8xQ9JfAet5LESpHF7qRsJueHN/rvF/ltsOjtl1tpRJ64vBmw+mI9c3i +48lMRzhpUJmgag0YKGehP9J6bnD8/JTN6Vz0307vEp287g/3uf+Vb5wb8w8+erN KS83lnS8WJ7W15RTAPNZ/5UuYmoBkl1UbLA2QKeaS3lZ1jKLBa210/TlogaNYGsS xzzKrFg0mqwxjNPKgWY8wxOHSva92onEeAc21dVmiH5or3KzRqfV9wgr7WhTk/zS k+62w2zlaKMZLFLkHNL+/tha7bJFsbaPuCCt3xKMOVUZ48xTQhS8Dpk+Xr84e0dW T7vFPTUuqrAh84m64yy4Q75SL+AdBPRluKcp5PtEZzMhw1EjnjD57tkgQ1UrS8Sn 9n3Wm3n7 =SbVx -----END PGP SIGNATURE-----