Veeam近日發(fā)布了安全更新，修復(fù)了其備份與復(fù)制軟件中的一個關(guān)鍵安全漏洞，該漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

高風(fēng)險漏洞詳情

該漏洞被標(biāo)記為CVE-2025-23120，CVSS評分為9.9（滿分10.0），影響12.3.0.310及之前所有版本12的構(gòu)建。Veeam在周三發(fā)布的公告中表示：“該漏洞允許通過認(rèn)證的域用戶遠(yuǎn)程執(zhí)行代碼（RCE）?！?/p>

安全研究員Piotr Bazydlo因發(fā)現(xiàn)并報告此漏洞而獲得認(rèn)可，該問題已在版本12.3.1（構(gòu)建12.3.1.1139）中得到解決。

根據(jù)Bazydlo和研究員Sina Kheirkhah的分析，CVE-2025-23120源于Veeam在處理反序列化機(jī)制時的不一致性，導(dǎo)致允許反序列化的類為內(nèi)部反序列化提供了途徑，而內(nèi)部反序列化本應(yīng)采用基于黑名單的機(jī)制來防止對高風(fēng)險數(shù)據(jù)的反序列化。

這意味著，攻擊者可以利用黑名單中缺失的反序列化工具鏈（即Veeam.Backup.EsxManager.xmlFrameworkDs和Veeam.Backup.Core.BackupSummary）來實現(xiàn)遠(yuǎn)程代碼執(zhí)行。研究員指出：“任何屬于Veeam服務(wù)器Windows主機(jī)本地用戶組的用戶都可以利用這些漏洞。如果服務(wù)器已加入域，任何域用戶都可以利用這些漏洞?！?/p>

補(bǔ)丁的有效性與局限性

Veeam發(fā)布的補(bǔ)丁將上述兩個工具鏈添加到現(xiàn)有黑名單中，但如果發(fā)現(xiàn)其他可行的反序列化工具鏈，該解決方案可能再次面臨類似風(fēng)險。

IBM AIX系統(tǒng)漏洞修復(fù)

與此同時，IBM也發(fā)布了修復(fù)程序，解決了其AIX操作系統(tǒng)中兩個可能導(dǎo)致命令執(zhí)行的關(guān)鍵漏洞。這些漏洞影響AIX 7.2和7.3版本，具體如下：

• CVE-2024-56346（CVSS評分：10.0）：一個不當(dāng)?shù)脑L問控制漏洞，可能允許遠(yuǎn)程攻擊者通過AIX NIM master服務(wù)執(zhí)行任意命令。
• CVE-2024-56347（CVSS評分：9.6）：一個不當(dāng)?shù)脑L問控制漏洞，可能允許遠(yuǎn)程攻擊者通過AIX nimsh服務(wù)的SSL/TLS保護(hù)機(jī)制執(zhí)行任意命令。

安全建議

盡管目前沒有證據(jù)表明這些關(guān)鍵漏洞已被利用，但建議用戶盡快應(yīng)用相關(guān)補(bǔ)丁，以防范潛在的威脅。