Resumen ejecutivo
Veeam ha corregido múltiples vulnerabilidades críticas en sus soluciones de backup, incluyendo la ejecución remota de código y escalada de privilegios. La CVE-2026-32998 permite a un atacante remoto ejecutar código arbitrario en la Veeam Service Provider Console, con una severidad crítica (CVSS 9.4), comprometiendo completamente el sistema afectado. La CVE-2026-32997 permite a un usuario autenticado con rol de Backup Administrator escribir archivos arbitrarios en el servidor Veeam Backup & Replication, lo que puede resultar en la manipulación de datos sensibles. Además, la CVE-2026-32996 permite la escalada de privilegios en Veeam Agent for Microsoft Windows, permitiendo a un atacante ejecutar código malicioso con mayores privilegios. Se requiere una actualización urgente a las versiones corregidas (9.2.1 y 13.0.2) para mitigar estos riesgos, ya que no se conocen soluciones temporales efectivas.
Recursos afectados
- Veeam Service Provider Console (versiones 9.2.0.33215 y anteriores)
- Veeam Service Provider Console 9.2.1.33875
- Veeam Backup & Replication (versiones 13.0.1.2067 y anteriores)
- Veeam Backup & Replication 13.0.2.29
- Veeam Agent for Microsoft Windows (todas las versiones afectadas no especificadas)
- Veeam Software Appliance (todas las versiones afectadas no especificadas)
Análisis técnico
- CVE-2026-32998: La vulnerabilidad en Veeam Service Provider Console permite la ejecución remota de código. Esto puede resultar en un compromiso total del sistema afectado, permitiendo a un atacante tomar control total. Para explotar esta vulnerabilidad, el atacante debe tener acceso a la interfaz vulnerable de la consola.
- CWE-233
- CVSS: 9.4 (crítica)
- Vector CVSS: N/A
- Explotación: No detectada
- CVE-2026-32997: Se ha identificado una vulnerabilidad que permite a un usuario autenticado con el rol de Backup Administrator escribir archivos arbitrarios en el servidor Veeam Backup & Replication basado en Linux. Esto podría resultar en la manipulación o destrucción de datos sensibles. Para explotar esta vulnerabilidad, el atacante debe contar con credenciales válidas y acceso al servidor.
- CWE-36
- CVSS: 8.6 (alta)
- Vector CVSS: N/A
- Explotación: No detectada
- CVE-2026-32996: La vulnerabilidad en Veeam Agent for Microsoft Windows permite una escalación de privilegios local. Esto podría permitir a un atacante ejecutar código malicioso con mayores privilegios en el sistema afectado. Para explotar esta vulnerabilidad, el atacante debe tener acceso local al dispositivo comprometido.
- CWE-532
- CVSS: 7.3 (alta)
- Vector CVSS: N/A
- Explotación: No detectada
Mitigación / Solución
Para mitigar la vulnerabilidad en Veeam Service Provider Console, se recomienda:
- Actualizar a la versión 9.2.1.33875, donde se soluciona la vulnerabilidad CVE-2026-32998.
- Si se desea mitigar la vulnerabilidad antes de aplicar la actualización:
- Comprobar el archivo:
C:\ProgramData\Veeam\Veeam Availability
Console\Configuration\Service\configuration.overrides.json - Verificar que la clave:
"AlarmManagement_ScriptExecutionEnabled" - Tiene el valor adecuado:
- Si está en
False, no es necesario realizar cambios. - Si está en
True:- Cambiar el valor a
False - Reiniciar el servicio Veeam Management Portal Service
- Cambiar el valor a
- Si está en
- Comprobar el archivo:
- Para usuarios de Veeam Backup & Replication:
- Actualizar a la versión 13.0.2.29 para corregir las vulnerabilidades:
- CVE-2026-32996
- CVE-2026-32997
- Actualizar a la versión 13.0.2.29 para corregir las vulnerabilidades: