**Veeam**は、同社のBackup & Replicationソフトウェアに影響を与える複数の深刻な脆弱性を修正するための、重要なセキュリティパッチをリリースしました。これらの脆弱性が悪用された場合、攻撃者は任意のコードをリモートで実行し、機密データを侵害する可能性があります。 ### 脆弱性の詳細 今回のアップデートで対処された脆弱性は以下の通りです。 * **CVE-2026-21666** (CVSSスコア: 9.9) - Backup Server上で認証されたドメインユーザーによって悪用可能なリモートコード実行（RCE）脆弱性。 * **CVE-2026-21667** (CVSSスコア: 9.9) - 同様に、Backup Server上で認証されたドメインユーザーによって悪用可能な、別のRCE脆弱性。 * **CVE-2026-21668** (CVSSスコア: 8.8) - 認証されたドメインユーザーが制限をバイパスし、Backup Repository上の任意のファイルを操作することを許可します。 * **CVE-2026-21672** (CVSSスコア: 8.8) - Windowsベースの**Veeam** Backup & Replicationサーバーにおけるローカル権限昇格。 * **CVE-2026-21708** (CVSSスコア: 9.9) - Backup Viewerがpostgresユーザーとしてリモートコード実行を実行することを可能にします。 これらの脆弱性は、**Veeam** Backup & Replication 12.3.2.4165およびバージョン12のすべての以前のビルドに影響します。これらの問題は、バージョン12.3.2.4465で解決されています。 さらに、**CVE-2026-21672**および**CVE-2026-21708**は、Backup & Replication 13.0.1.2067で修正されており、以下の深刻な脆弱性も対処されています。 * **CVE-2026-21669** (CVSSスコア: 9.9) - Backup Server上で認証されたドメインユーザーによって悪用可能な、もう一つのRCE脆弱性。 * **CVE-2026-21671** (CVSSスコア: 9.1) - Backup Administratorロールを持つ認証済みユーザーが、**Veeam** Backup & Replicationのハイアベイラビリティ（HA）デプロイメントでリモートコード実行を実行することを許可します。 ### 直ちに行動が必要 **Veeam**は、ユーザーに直ちに最新バージョンにアップデートすることを強く推奨しています。同社は、脅威アクターがパッチをリバースエンジニアリングして、パッチが適用されていないシステムを悪用する可能性が高いと明示的に警告しています。 **Veeam**ソフトウェアの脆弱性がランサムウェアグループによって悪用されてきた過去の事例を考慮すると、潜在的な脅威を軽減し、データ侵害を防ぐためには、迅速なパッチ適用が不可欠です。