Se ha identificado una vulnerabilidad crítica CVSS v3.1: 9.9 que permite la ejecución remota de código por usuarios autenticados en el dominio, afectando a Veeam Backup & Replication versión 12.3.0.310 y a todas las versiones 12 anteriores. Este fallo compromete la seguridad de los servidores de backup unidos a un dominio, habiendo sido corregido en la versión 12.3.1 build 12.3.1.1139, por lo que se recomienda actualizar de inmediato para mitigar el riesgo.
Recursos afectados
- Veeam Backup & Replication 12.3.0.310 y versiones anteriores de 12
- Versiones no soportadas del producto (probablemente afectadas)
Análisis técnico
- CVE-2025-23120: Vulnerabilidad que permite la ejecución remota de código (RCE) por parte de usuarios de dominio autenticados.
- CWE -
- CVSS: 9.9
- Vector CVSS: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
- Explotación: No detectada
Mitigación / Solución
Veeam recomienda actualizar a la versión 12.3.1 (build 12.3.1.1139) o una versión superior para mitigar la vulnerabilidad crítica de ejecución remota de código (CVE-2025-23120). Esta vulnerabilidad afecta a los servidores de backup unidos a dominios, los cuales deberían ser configurados de acuerdo con las mejores prácticas de seguridad y cumplimiento. Se sugiere no unir los servidores de backup a dominios para evitar este tipo de riesgos.
Referencias adicionales