CRITICAL🇬🇧 English

CVE-2026-32998

RCE w Veeam Service Provider Console (CVE-2026-32998)

CVSS 9.4v4.0pub. 2026-05-28upd. 2026-05-29

Krytyczna podatność w Veeam Service Provider Console umożliwia zdalne wykonanie kodu (RCE) przez uwierzytelnionego użytkownika sieciowego. Ze względu na ocenę CVSS 9.4 oraz potencjalny wpływ na systemy zewnętrzne, stanowi poważne zagrożenie dla infrastruktury dostawców usług zarządzanych.

Pokaż oryginał (EN)

This vulnerability in Veeam Service Provider Console allows for remote code execution.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-233 (Improper Handling of Parameters) pozwala atakującemu na zdalne wykonanie dowolnego kodu na podatnym systemie. Wektor ataku sieciowy (AV:N) bez konieczności interakcji użytkownika (UI:N) przy niskich wymaganiach dotyczących uprawnień (PR:L) oznacza, że wystarczy posiadanie podstawowego dostępu do konsoli, aby przeprowadzić skuteczny atak. Podatność wpływa zarówno na zasoby systemu docelowego, jak i powiązanych systemów (SC:H/SI:H/SA:H).

Skutki

Pomyślne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych oraz naruszenia integralności i dostępności zarówno systemu docelowego, jak i systemów z nim powiązanych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://www.veeam.com/kb4853. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do konsoli Veeam Service Provider Console wyłącznie do zaufanych hostów oraz monitorowanie logów pod kątem nieautoryzowanych działań.

Kogo dotyczy

Veeam Service Provider Console — wersje wskazane w referencjach producenta (https://www.veeam.com/kb4853)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje
CVE-2026-32998 — RCE w Veeam Service Provider Console (CVE-2026-32998) — CRITICAL 9.4 | CVEbaza.pl