Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Witold Kepinski - 13 maart 2026

Veeam publiceert fixes voor ernstige kwetsbaarheden

Softwareontwikkelaar Veeam heeft een dringende beveiligingsupdate uitgebracht voor zijn vlaggenschip, Veeam Backup & Replication. In de nieuwste versie (12.3.2.4465) worden meerdere kritieke kwetsbaarheden verholpen die aanvallers in staat stellen om op afstand volledige controle over back-upservers te krijgen.

Security Back-up Software
Veeam publiceert fixes voor ernstige kwetsbaarheden image

De ernst van de situatie wordt onderstreept door de CVSS-scores (Common Vulnerability Scoring System). Drie van de ontdekte lekken kregen een score van 9.9 op een schaal van 10, wat betekent dat ze extreem gevaarlijk zijn en relatief eenvoudig te misbruiken door kwaadwillenden.

Remote Code Execution (RCE)

De gevaarlijkste kwetsbaarheden (waaronder CVE-2026-21666 en CVE-2026-21667) stellen een geauthenticeerde domeingebruiker in staat om op afstand willekeurige code uit te voeren op de Backup Server. Dit is een doemscenario voor IT-beheerders: als een aanvaller eenmaal voet aan de grond heeft in een bedrijfsnetwerk, kan hij via de back-upserver de laatste verdedigingslinie van een organisatie uitschakelen of data versleutelen.

Daarnaast is er een lek gedicht (CVE-2026-21708) waarbij zelfs een gebruiker met enkel 'viewer'-rechten code kan uitvoeren als de postgres-gebruiker, de beheerder van de database achter de back-upsoftware.

Manipulatie van back-ups

Naast de RCE-lekken bevat de update oplossingen voor:

  • Bestandsmanipulatie (CVE-2026-21668): Een lek met een hoge impact (score 8.8) waarmee aanvallers beperkingen kunnen omzeilen en bestanden op de Backup Repository kunnen manipuleren.
  • Privilege Escalation (CVE-2026-2172): Een kwetsbaarheid die lokale gebruikers op Windows-servers hogere rechten geeft dan zij horen te hebben.

"Patch onmiddellijk"

Veeam waarschuwt dat zodra een patch openbaar is, aanvallers vaak proberen deze te 'reverse-engineeren' om gericht te zoeken naar systemen die nog niet zijn bijgewerkt. "Dit onderstreept het cruciale belang voor alle klanten om de nieuwste versie van onze software te gebruiken en alle updates zonder uitstel te installeren," aldus het bedrijf in een officiƫle verklaring.

De kwetsbaarheden treffen alle versies van Veeam Backup & Replication 12 tot en met versie 12.3.2.4165. Beheerders wordt geadviseerd om zo snel mogelijk te upgraden naar build 12.3.2.4465. Naast de fixes voor de back-upsoftware is ook de Veeam Agent voor Linux bijgewerkt om firewall-instellingen beter af te stemmen op de rest van het productportfolio.

ESET Cyber Defense Summit 2026 Omada Hospitality workshop BW BN

Dutch IT events

Event icon

Event

Eurofiber You're on Stage Academy 2025

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events
ESET Cyber Defense Summit 2026

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.