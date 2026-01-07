07/01/2026
IT-Connect » Actualités » Actu Cybersécurité » Cette mise à jour pour Veeam Backup & Replication corrige 4 failles de sécurité : patchez !

Veeam Backup and Replication corrige 4 failles de sécurité - janvier 2026
Actu Cybersécurité

Cette mise à jour pour Veeam Backup & Replication corrige 4 failles de sécurité : patchez !

Florian BURNEL 0 commentaire

En ce début janvier 2026, un ensemble de 4 vulnérabilités a été patché dans la solution de sauvegarde Veeam Backup & Replication. Quels sont les risques ? Comment se protéger ? Faisons le point.

Parmi les 4 failles de sécurité dévoilées par Veeam, 3 permettent à un attaquant d'exécuter du code à distance avec plus ou moins de privilèges. Toutes ces vulnérabilités ont été découvertes lors d'audits internes effectués par les équipes de Veeam.

Ces failles sont décrites dans le tableau récapitulatif ci-dessous :

Identifiant CVEImpactPrivilèges requisSévéritéScore CVSS v3.1
CVE-2025-55125Exécution de code à distance (RCE) en tant que root via la création d'un fichier de configuration de sauvegarde malveillant.Opérateur de sauvegarde ou de bande (Backup/Tape Operator)Élevée7.2
CVE-2025-59468Exécution de code à distance (RCE) en tant qu'utilisateur postgres via l'envoi d'un paramètre de mot de passe malveillant.Administrateur de sauvegarde (Backup Administrator)Moyenne6.7
CVE-2025-59469Écriture de fichiers arbitraires en tant que root.Opérateur de sauvegarde ou de bande (Backup/Tape Operator)Élevée7.2
CVE-2025-59470Exécution de code à distance (RCE) en tant qu'utilisateur postgres via des paramètres d'ordre ou d'intervalle malveillants.Opérateur de sauvegarde ou de bande (Backup/Tape Operator)Élevée9.0

La lecture du bulletin de sécurité de Veeam apporte une précision importante concernant la CVE-2025-59470 (la dernière du tableau). Bien que le score CVSS soit de 9.0 (ce qui correspond à une faille critique), la sévérité a été réajustée à Élevée par l'éditeur Veeam.

D'ailleurs, Veeam a appliqué ce changement pour deux raisons :

  • Pour exploiter cette vulnérabilité, l'attaquant doit déjà disposer du rôle d'Opérateur, qui donne déjà beaucoup de privilèges.
  • L'application des bonnes pratiques de sécurité de Veeam réduit la probabilité d'exploitation de cette CVE.

Comment se protéger ?

Veeam précise que ces 4 failles de sécurité affectent Veeam Backup & Replication 13.0.1.180 et toutes les versions antérieures de Veeam B&R 13. Autrement dit, les versions antérieures ne sont pas affectées.

"Les versions précédentes de Veeam Backup & Replication (c'est-à-dire 12.x et antérieures) ne sont pas concernées par ces vulnérabilités.", précise Veeam.

Pour protéger votre instance, et par extension vos sauvegardes, vous devez installer cette version : Veeam Backup & Replication 13.0.1.1071. Elle corrige aussi un ensemble de bugs, comme vous pourrez le constater en lisant la KB associée.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Fuite de données Casio Octobre 2023

Cyberattaque Casio : 126 000 utilisateurs impactés par une fuite de données !

Florian BURNEL 0
Microsoft Exchange - CVE-2022-41040 et CVE-2022-41082

Zero-day Exchange : Microsoft donne des précisions et confirme la présence d’attaques !

Florian BURNEL 0
Phishing Facebook - Je n’arrive pas à croire qu’il soit parti

« Je n’arrive pas à croire qu’il soit parti », méfiez-vous de cette arnaque sur Facebook !

Florian BURNEL 2

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.