Veeam の複数の深刻な脆弱性が FIX:リモートコード実行や権限昇格の恐れ

Veeam Patches Multiple Critical RCE Vulnerabilities on Backup Server

2026/03/13 CyberSecurityNews — Veeam が公表したのは、Backup & Replication ソフトウェアに存在する深刻な脆弱性を修正する重要なセキュリティ・アップデートである。これらの欠陥を悪用する攻撃者は、リモートコード実行や権限昇格を可能にする恐れがある。2026年03月12日に公開された最新セキュリティ・パッチ (Build 12.3.2.4465) は、バックアップ・インフラを脅威から保護するために、管理者にとって必須のアップデートである。Veeam バックアップ・ソフトウェアに対する修正の継続的な適用は、現代のインフラ・セキュリティにおける重要な要素である。

修正された複数の深刻な脆弱性

このアップデートで修正された、3 件の Critical 脆弱性の深刻度は、 CVSS 3.1 スコア 9.9 に達する。これらの欠陥は、エンタープライズ・バックアップ環境に重大なリスクをもたらす。

CVE-2026-21666/CVE-2026-21667 (Critical 9.9):これらの脆弱性を悪用する認証済みのドメイン・ユーザーは、Veeam Backup Server 上で任意のリモートコード実行を可能にする。

CVE-2026-21708 (Critical 9.9):Backup Viewer 権限を持つ攻撃者は、内部の PostgreSQL ユーザーとして RCE を可能にする。それにより、バックエンドのデータベース・プロセスを不正に制御できる。

Critical 深刻度の RCE 問題に加え、Veeam は深刻度 High (CVSS 8.8) の 2 件の脆弱性も修正している。

CVE-2026-21668 (High 8.8):この制限回避の脆弱性を悪用する認証済みのドメイン・ユーザーは、Backup Repository 上で任意ファイルを操作できる。それにより、バックアップ整合性が危険にさらされる。

CVE-2026-21672 (High 8.8):Windows ベースの Veeam Backup & Replication Server に影響する、ローカル権限昇格の脆弱性である。限定的なローカルアクセスを持つ攻撃者が、システム権限を昇格する可能性がある。

技術的な改善と脆弱性の修正

今回の Build 12.3.2.4465 では、それぞれの CVE の修正に加えて、複数のコア・コンポーネントがアップグレードされ、全体的なシステム・セキュリティが強化された。

Decode-uri-component はバージョン 0.2.2 へ、Newtonsoft.Json はバージョン 13.0.3 へ、Path-to-RegExp はバージョン 1.9.0 へアップデートされた。

このリリースでは、運用面の問題も修正されている。DISA STIG プロファイルが有効な RHEL インフラ・サーバを更新する場合に、Veeam パッケージ検証に使用される公開 GPG キーが正しく更新されるようになった。

Veeam が推奨するのは、fapolicyd サービスを一時的に無効化し、アップデート実行中のスムーズな処理を確保する方式である。

さらに、Enterprise Manager から開始される PostgreSQL アイテム復元が失敗する原因となっていた、デシリアライズのエラーも修正された。

Veeam が管理者に対して強く指摘するのは、このセキュリティ・パッチを直ちに適用することである。現在のバージョンを確認するには、Veeam Backup & Replication コンソールの Main Menu を開き、Help から About を選択する。

現時点でバージョン 12.3.2 (build 12.3.2.3617/12.3.2.4165) を使用している組織は、ISO または EXE 形式で提供される専用パッチファイルをダウンロードして適用できる。

バージョン 12.3.1 以前を使用している環境では、完全インストール ISO を使用して安全な build 12.3.2.4465 へとアップグレードする必要がある。

インストーラの実行前には、ダウンロードしたファイルのブロック解除を必ず行い、実行エラーを防止する必要がある。重要なアップデートを必要とする管理者に対して、これらの問題に関する技術情報の共有が推奨される。

Veeam Backup & Replicationにおいて、最大深刻度 CVSS 9.9 という、きわめて危険な脆弱性が複数修正されました。今回の問題の原因は、バックアップ・サーバ内での認証済みユーザーによるリモートコード実行 (RCE) およびデータベース・プロセスを介した不正制御にあります。

バックアップ・システムは、ランサムウェア攻撃などからの最後の砦であるため、ここが侵害されると、バックアップ・データの破壊や改竄などを介して、組織全体の復旧能力が完全に失われる致命的なリスクを負うことになります。ご利用のチームは、ご注意ください。よろしければ、Veeam での検索結果も、ご参照ください。