Veeam hat eine Reihe kritischer Schwachstellen in seiner Software Backup & Replication geschlossen. Gelingt die Ausnutzung, lässt sich darüber Schadcode aus der Ferne ausführen – eine der schwerwiegendsten Klassen von Sicherheitslücken, weil Angreifer damit die Kontrolle über betroffene Systeme erlangen können.

Nach Angaben des Herstellers betreffen die Schwachstellen die Version 12.3.2.4165 von Backup & Replication sowie sämtliche früheren Builds des Versionsstrangs 12. Behoben sind sie in der Version 12.3.2.4465. Anwender, die noch eine ältere Ausgabe einsetzen, sollten auf diese Fassung aktualisieren.

Zwei der gemeldeten Lücken, geführt unter CVE-2026-21672 und CVE-2026-21708, wurden darüber hinaus in Backup & Replication 13.0.1.2067 korrigiert. In diesem Build hat Veeam zugleich zwei weitere als kritisch eingestufte Sicherheitsprobleme geschlossen.

In seinem Advisory verweist Veeam ausdrücklich auf das Risiko nach der Veröffentlichung: Sobald eine Schwachstelle und der zugehörige Patch bekannt seien, würden Angreifer voraussichtlich versuchen, den Patch durch Reverse Engineering zu analysieren, um damit ungepatchte Veeam-Installationen anzugreifen. Das verkürzt das Zeitfenster, in dem noch nicht aktualisierte Systeme als ungeschützt gelten.

Die Dringlichkeit ergibt sich auch aus der Vorgeschichte: Schwachstellen in Veeam-Software wurden in der Vergangenheit wiederholt von Bedrohungsakteuren für Ransomware-Angriffe ausgenutzt. Vor diesem Hintergrund empfiehlt der Hersteller, betroffene Instanzen zeitnah auf die jeweils aktuelle Version zu bringen.