**Veeam** a publié des correctifs de sécurité cruciaux pour remédier à plusieurs vulnérabilités critiques affectant son logiciel Backup & Replication. Ces failles, si elles sont exploitées, pourraient permettre à des attaquants d'exécuter du code arbitraire à distance et de compromettre des données sensibles. ### Détails des vulnérabilités Les vulnérabilités corrigées par cette mise à jour incluent : * **CVE-2026-21666** (score CVSS : 9.9) - Vulnérabilité d'exécution de code à distance (RCE) exploitable par un utilisateur de domaine authentifié sur le serveur de sauvegarde. * **CVE-2026-21667** (score CVSS : 9.9) - Une autre vulnérabilité RCE, également exploitable par un utilisateur de domaine authentifié sur le serveur de sauvegarde. * **CVE-2026-21668** (score CVSS : 8.8) - Permet aux utilisateurs de domaine authentifiés de contourner les restrictions et de manipuler des fichiers arbitraires sur un dépôt de sauvegarde. * **CVE-2026-21672** (score CVSS : 8.8) - Escalade de privilèges locale sur les serveurs **Veeam** Backup & Replication basés sur Windows. * **CVE-2026-21708** (score CVSS : 9.9) - Permet à un visualiseur de sauvegarde d'exécuter du code à distance en tant qu'utilisateur postgres. Ces vulnérabilités affectent **Veeam** Backup & Replication 12.3.2.4165 et toutes les versions antérieures de la branche 12. Les problèmes ont été résolus dans la version 12.3.2.4465. De plus, **CVE-2026-21672** et **CVE-2026-21708** ont été corrigés dans Backup & Replication 13.0.1.2067, qui corrige également les failles critiques suivantes : * **CVE-2026-21669** (score CVSS : 9.9) - Encore une autre vulnérabilité RCE qui peut être exploitée par un utilisateur de domaine authentifié sur le serveur de sauvegarde. * **CVE-2026-21671** (score CVSS : 9.1) - Permet à un utilisateur authentifié avec le rôle d'administrateur de sauvegarde d'exécuter du code à distance dans des déploiements haute disponibilité (HA) de **Veeam** Backup & Replication. ### Action immédiate requise **Veeam** conseille vivement aux utilisateurs de mettre à jour leurs installations vers les dernières versions sans délai. L'entreprise a explicitement averti que les acteurs malveillants sont susceptibles d'effectuer une ingénierie inverse des correctifs pour exploiter les systèmes non patchés. Compte tenu de l'historique des vulnérabilités logicielles **Veeam** exploitées par des groupes de ransomware, un patching rapide est crucial pour atténuer les menaces potentielles et prévenir les violations de données.