Veeam近日發(fā)布了安全更新，修復(fù)了其備份與復(fù)制軟件中的一個(gè)關(guān)鍵安全漏洞，該漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

高風(fēng)險(xiǎn)漏洞詳情

該漏洞被標(biāo)記為CVE-2025-23120，CVSS評(píng)分為9.9（滿(mǎn)分10.0），影響12.3.0.310及之前所有版本12的構(gòu)建。Veeam在周三發(fā)布的公告中表示：“該漏洞允許通過(guò)認(rèn)證的域用戶(hù)遠(yuǎn)程執(zhí)行代碼（RCE）。”

安全研究員Piotr Bazydlo因發(fā)現(xiàn)并報(bào)告此漏洞而獲得認(rèn)可，該問(wèn)題已在版本12.3.1（構(gòu)建12.3.1.1139）中得到解決。

根據(jù)Bazydlo和研究員Sina Kheirkhah的分析，CVE-2025-23120源于Veeam在處理反序列化機(jī)制時(shí)的不一致性，導(dǎo)致允許反序列化的類(lèi)為內(nèi)部反序列化提供了途徑，而內(nèi)部反序列化本應(yīng)采用基于黑名單的機(jī)制來(lái)防止對(duì)高風(fēng)險(xiǎn)數(shù)據(jù)的反序列化。

這意味著，攻擊者可以利用黑名單中缺失的反序列化工具鏈（即Veeam.Backup.EsxManager.xmlFrameworkDs和Veeam.Backup.Core.BackupSummary）來(lái)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。研究員指出：“任何屬于Veeam服務(wù)器Windows主機(jī)本地用戶(hù)組的用戶(hù)都可以利用這些漏洞。如果服務(wù)器已加入域，任何域用戶(hù)都可以利用這些漏洞?！?/p>

補(bǔ)丁的有效性與局限性

Veeam發(fā)布的補(bǔ)丁將上述兩個(gè)工具鏈添加到現(xiàn)有黑名單中，但如果發(fā)現(xiàn)其他可行的反序列化工具鏈，該解決方案可能再次面臨類(lèi)似風(fēng)險(xiǎn)。

IBM AIX系統(tǒng)漏洞修復(fù)

與此同時(shí)，IBM也發(fā)布了修復(fù)程序，解決了其AIX操作系統(tǒng)中兩個(gè)可能導(dǎo)致命令執(zhí)行的關(guān)鍵漏洞。這些漏洞影響AIX 7.2和7.3版本，具體如下：

• CVE-2024-56346（CVSS評(píng)分：10.0）：一個(gè)不當(dāng)?shù)脑L問(wèn)控制漏洞，可能允許遠(yuǎn)程攻擊者通過(guò)AIX NIM master服務(wù)執(zhí)行任意命令。
• CVE-2024-56347（CVSS評(píng)分：9.6）：一個(gè)不當(dāng)?shù)脑L問(wèn)控制漏洞，可能允許遠(yuǎn)程攻擊者通過(guò)AIX nimsh服務(wù)的SSL/TLS保護(hù)機(jī)制執(zhí)行任意命令。

安全建議

盡管目前沒(méi)有證據(jù)表明這些關(guān)鍵漏洞已被利用，但建議用戶(hù)盡快應(yīng)用相關(guān)補(bǔ)丁，以防范潛在的威脅。