Schwere Sicherheitslücken in Veeam Backup & Replication 12 und 13 (11. März 2026)

Veröffentlicht am 13. März 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Kurze Information für Nutzer und Administratoren, die auf Veeam Backup & Replication setzen. Veeam hat zum 11. März 2026 Nutzern Sicherheitshinweise zu gravierenden Schwachstellen (CVSS v3.1 Score teilweise bei 9.9)  zukommen lassen und auch Sicherheitsupdates bereitgestellt. Betroffen sind Veeam Backup & Replication 12 und 13. Auch vom BSI gibt es bereits eine Warnung.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Ich bin gestern von zwei Blog-Lesern per Mail über diese Sicherheitshinweise von Veeam informiert worden (danke für den Hinweis). Zudem gibt es vom BSI die Warnung [WID-SEC-2026-0709] Veeam Backup & Replication: Mehrere Schwachstellen.

Veeam BSI-Warnung 12.3.2026

Sicherheitshinweis zu Veeam Backup & Replication 12

Mit Datum 12. März 2026 wurde vom Hersteller der Sicherheitshinweis KB4830: Vulnerabilities Resolved in Veeam Backup & Replication 12.3.2.4465 veröffentlicht. Dort wird über eine Reihe von Schwachstellen in Veeam Backup & Replication 12.3.2.4165 und älteren Versionen informiert.

  • CVE-2026-21666: Kritische Schwachstelle mit CVSS v3.1 Score: 9.9; Diese ermöglichtes einem authentifizierten Domänenbenutzer die Remote-Code-Ausführung (RCE) auf dem Backup-Server durchzuführen.
  • CVE-2026-21667: Kritische Schwachstelle mit CVSS v3.1 Score: 9.9; Eine Sicherheitslücke, die es einem authentifizierten Domänenbenutzer ermöglicht, Remote-Code-Ausführung (RCE) auf dem Backup-Server durchzuführen.
  • CVE-2026-21668: Als Hoch bewertete Schwachstelle mit CVSS v3.1 Score: 8.8; Ermöglicht es einem authentifizierten Domänenbenutzer Einschränkungen zu umgehen und beliebige Dateien in einem Backup-Repository zu manipulieren.
  • CVE-2026-21672: Als Hoch bewertete Schwachstelle mit CVSS v3.1 Score: 8.8; Ermöglicht eine lokale Rechteausweitung auf Windows-basierten Veeam Backup & Replication-Servern.
  • CVE-2026-21708: Kritische Schwachstelle mit CVSS v3.1 Score: 9.9; Ermöglicht es einem Backup Viewer , als Postgres-Benutzer Remote-Code-Ausführung (RCE) durchzuführen.

Laut Veeam wurden die obigen Schwachstellen mit Veeam Backup & Replication 12.3.2.4465 geschlossen.

Sicherheitshinweis zu Veeam Backup & Replication 13

Ebenfalls zum 12. März 2026 wurde der Veeam Sicherheitshinweis KB4831: Vulnerabilities Resolved in Veeam Backup & Replication 13.0.1.2067 veröffentlicht. Die beschriebenen Sicherheitslücken betreffen Veeam Backup & Replication 13.0.1.1071 und alle früheren Versionen der Build 13.

  • CVE-2026-21669: Kritische Schwachstelle mit CVSS v3.1 Score: 9.9; Ermöglicht es einem authentifizierten Domänenbenutzer, Remote-Code-Ausführung (RCE) auf dem Backup-Server durchzuführen. Eine Windows-basierte Schwachstelle in Veeam-Sicherung und -Replikation, die bei internen Tests entdeckt wurde.
  • CVE-2026-21670: Eine als Hoch bewertete Schwachstelle mit CVSS v3.1 Score: 7.7; Ermöglicht es einem Benutzer mit geringen Berechtigungen, gespeicherte SSH-Anmeldedaten zu extrahieren. Eine Windows-basierte Schwachstelle in Veeam-Sicherung und -Replikation, die bei internen Tests entdeckt wurde.
  • CVE-2026-21671: Kritische Schwachstelle mit CVSS v3.1 Score: 9.1; Ermöglicht einem authentifizierten Benutzer mit der Rolle "Backup-Administrator" in Hochverfügbarkeitsumgebungen (HA) von Veeam Backup & Replication eine Remote-Code-Ausführung (RCE). Betrifft Veeam Software Appliance und wurde bei internen Tests entdeckt.
  • CVE-2026-21672: Eine als Hoch bewertete Schwachstelle mit CVSS v3.1 Score: 8.8; Ermöglicht eine lokale Rechteausweitung auf Windows-basierten Veeam Backup & Replication-Servern.
  • CVE-2026-21708: Kritische Schwachstelle mit CVSS v3.1 Score: 9.9; Ermöglicht einem Backup Viewer die Ausführung von Remote-Code (RCE) als Postgres-Benutzer. Betrifft das Windows-basierte Veeam Backup & Replication und Veeam Software Appliance.

Die Schwachstellen wurden in Veeam Backup & Replication 13.0.1.2067 geschlossen.

Fixes für Veeam Backup & Replication/Cloud Connect

Im Supportbeitrag KB3103: List of Security Fixes and Improvements in Veeam Backup & Replication gibt Veeam noch Fixes für Veeam Backup & Replication 10, 11, 12, 12.1, 12.2, 12.3, 12.3.1, 12.3.2 und 13, sowie für Veeam Cloud Connect 10, 11, 12, 12.2 und 12.3 bekannt. Dort werden die in den Produkten beseitigten Sicherheitslücken mit ihren CVE-Nummern aufgelistet.

Veeam Agent for Linux

Weiterhin hat der Hersteller die Sicherheitswarnung KB3109: List of Security Fixes and Improvements in Veeam Agent for Linux aus dem Jahr 2020 für Veeam Agent for Linux in den Versionen 4.0, 5.0, 6.0, 6.1, 6.2, 6.3, 6.3.1, 6.3.2 und 13 im März 2026 aktualisiert. Es wurden eine Reihe Open Source-Komponenten im Veeam Agent for Linux gefixt.

Dieser Beitrag wurde unter Backup, Sicherheit, Software, Update abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.