Veeam hat am 11. März 2026 zwei KB-Artikel (KB4830 und KB4831) veröffentlicht, die mehrere kritische Sicherheitslücken in Veeam Backup & Replication beschreiben. Insgesamt werden fünf Schwachstellen mit einem CVSS-Score von 9.1 bis 9.9 behoben – alle ermöglichen Remote Code Execution (RCE).
Übersicht der kritischen Schwachstellen
|
CVE |
CVSS |
Beschreibung |
Betroffene Version |
|
CVE-2026-21666 |
9.9 |
RCE durch authentifizierten Domain-Benutzer |
nur v12 |
|
CVE-2026-21667 |
9.9 |
RCE durch authentifizierten Domain-Benutzer |
nur v12 |
|
CVE-2026-21669 |
9.9 |
RCE durch authentifizierten Domain-Benutzer |
nur v13 (Windows) |
|
CVE-2026-21671 |
9.1 |
RCE in High Availability (HA) Deployments |
nur v13 (Software Appliance) |
|
CVE-2026-21708 |
9.9 |
RCE als postgres-Benutzer durch Backup Viewer |
v12 und v13 |
Die Schwachstellen CVE-2026-21666, CVE-2026-21667 und CVE-2026-21669 betreffen ausschliesslich Backup-Server, die in eine Domäne eingebunden sind (domain-joined). Backup-Server ohne Domänenanbindung sind von diesen drei Schwachstellen nicht betroffen.
CVE-2026-21708 ist besonders kritisch, da lediglich die Rolle «Backup Viewer» benötigt wird – eine Rolle mit minimalen Privilegien. Diese Schwachstelle betrifft sowohl Version 12 als auch Version 13, unabhängig davon, ob der Server in die Domäne eingebunden ist.
CVE-2026-21671 betrifft ausschliesslich High Availability Deployments auf der Veeam Software Appliance und erfordert die Backup-Administrator-Rolle.
Betroffene Versionen
|
Produkt |
Betroffene Builds |
Fix-Version |
|
Veeam Backup & Replication v12 |
12.3.2.4165 und alle früheren v12-Builds |
|
|
Veeam Backup & Replication v13 |
13.0.1.1071 und alle früheren v13-Builds |
Empfehlung
Wir empfehlen die Sicherheits-Updates zeitnah einzuspielen.
Weitere Informationen:
Gerne stehen wir Ihnen für weitere Fragen persönlich zur Verfügung. Sie erreichen uns direkt auf unserem Kundenportal oder unter marketing@bithawk.ch oder auf der Nummer 058 226 01 01.
Sind Sie ein Mitglied der Geschäftsleitung oder haben Sie einen Sitz im Verwaltungsrat? Tragen Sie Verantwortung für die Unternehmens-IT oder arbeiten Sie als Spezialist, der sich um die IT-Systeme kümmert?
Für all diese unterschiedlichen Aufgabenbereiche bietet die BitHawk AG umfassende Services an. Wir beraten Sie auf der strategischen sowie operativen Ebene und bieten umfangreiche technische Lösungen an.
Die Gefahren rund um die Cybersicherheit sind für jedes Unternehmen eine Herausforderung. Alle müssen sich in der heutigen Zeit mit dem Thema IT-Sicherheit befassen. Der Schutz der Informationstechnologie ist jedoch nicht nur eine rein technische Disziplin, sondern sollte vor allem als Prozess gedacht werden. BitHawk unterstützt Sie hier gerne mit einer vielfältigen Palette an Services und Beratungen. Dabei orientierten wir uns an etablierten Standards – etwa am IT-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) und am Cyber Security Framework des National Institute of Standards and Technology (NIST).
Wollen auch Sie den Cybersecurity-Reifegrad in Ihrer Organisation erhöhen? Dann sprechen Sie mit uns oder schauen Sie rein.