1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. Veeam Backup & Replication 13、複数の深刻な脆弱性を修正(CVE-2025-55125,CVE-2025-59469,CVE-2025-59470)

Veeam Backup & Replication 13、複数の深刻な脆弱性を修正(CVE-2025-55125,CVE-2025-59469,CVE-2025-59470)

セキュリティニュース

投稿日時: 更新日時:

Veeam Backup & Replication 13、複数の深刻な脆弱性を修正(CVE-2025-55125,CVE-2025-59469,CVE-2025-59470)

Veeam Softwareは2026年1月6日、同社のバックアップ製品 Veeam Backup & Replication 13 に存在していた複数のセキュリティ脆弱性を修正したと発表しました。これらの脆弱性は、Veeam Backup & Replication 13.0.1.1071 でまとめて修正されています。

同社は、脆弱性が公開されパッチが提供された後は、攻撃者が更新内容を解析し、未適用環境を狙う可能性が高まると指摘しており、影響を受ける環境では速やかなアップデートの適用が不可欠だとしています。

影響を受けるバージョンと対象範囲

今回公表されたすべての脆弱性は、
Veeam Backup & Replication 13.0.1.180 およびそれ以前の 13 系ビルドが対象です。

なお、12.x 系以前のバージョンは影響を受けないとされています。

修正された主な脆弱性の内容

今回修正された脆弱性は、いずれも内部テストの過程で発見されたもので、権限を持つユーザーによる悪用を前提としながらも、リモートコード実行(RCE)や root 権限でのファイル操作といった重大な影響につながる可能性があります。

CVE-2025-55125(深刻度:High)

Backup Operator または Tape Operator の権限を持つユーザーが、細工されたバックアップ設定ファイルを作成することで、root 権限で任意のコードを実行できる可能性がある脆弱性です。
CVSS v3.1 スコアは 7.2 と評価されています。

CVE-2025-59468(深刻度:Medium)

Backup Administrator 権限を持つユーザーが、不正なパスワードパラメータを送信することで、postgres ユーザー権限でリモートコード実行が可能となる恐れがあります。
CVSS v3.1 スコアは 6.7 です。

CVE-2025-59469(深刻度:High)

Backup Operator または Tape Operator が、root 権限で任意のファイルを書き込める可能性がある脆弱性です。
これにより、システム改ざんや後続攻撃の足掛かりを作られるリスクがあります。CVSS v3.1 スコアは 7.2 とされています。

CVE-2025-59470(調整後深刻度:High/CVSS評価上はCritical)

不正な interval または order パラメータを送信することで、Backup Operator または Tape Operator が postgres ユーザー権限でリモートコード実行できる可能性がある脆弱性です。


CVSS v3.1 のスコア自体は 9.0(Critical)ですが、Veeam はこれらのロールが「高度に特権的な役割」である点や、同社が推奨するセキュリティガイドラインを前提とした運用でリスクが低減される点を考慮し、実運用上の深刻度を High と評価しています。

対策と推奨対応

Veeam は、以下の対応を明確に示しています。

  • Veeam Backup & Replication 13.0.1.1071 以上へアップデートすること

  • 管理者・オペレーター権限を持つアカウントの利用範囲を見直し、不要な権限を削減すること

  • Veeam が公開している Security Guidelines に沿った運用を徹底すること

特に、バックアップ基盤は多くの場合、基幹システムや認証情報への広範なアクセス権限を持つため、侵害された場合の影響が極めて大きくなります。

今回の脆弱性はいずれも「内部ユーザーや侵害済みアカウントによる悪用」が前提ですが、ランサムウェア攻撃などでは管理権限奪取後にバックアップ環境が狙われるケースも多く、注意が必要です。

最新の脅威動向から実務に直結する対策まで、情シス・セキュリティ担当者向けのセミナー/イベント情報を厳選して掲載しています。開催形式(オンライン/現地)、対象レベル、分野別で探せます。まずは一覧からご確認ください。

関連記事

Default ThumbnailVeeamのVeeam Backup Enterprise Managerで重大な認証バイパスのバグを警告(CVE-2024-29849) Veeamでリモートコード実行が可能な脆弱性、早急なパッチ適用を(CVE-2025-23120)Veeamでリモートコード実行が可能な脆弱性、早急なパッチ適用を(CVE-2025-23120) Veeam Backup & Replicationを狙うランサムウェア攻撃が発生Veeam Backup & Replicationを狙うランサムウェア攻撃が発生 Veeam、バックアップサーバー向けに緊急アップデート-重大な脆弱性を含む3件を修正(CVE-2025-23121)Veeam、バックアップサーバー向けに緊急アップデート-重大な脆弱性を含む3件を修正(CVE-2025-23121) Veeam Backup & Replicationに2つの高リスク脆弱性(CVE-2025-48983,CVE-2025-48984)Veeam Backup & Replicationに2つの高リスク脆弱性(CVE-2025-48983,CVE-2025-48984) Veeamの脆弱性(CVE-2024-40711)をランサムウェア AkiraとFogが悪用Veeamの脆弱性(CVE-2024-40711)をランサムウェア AkiraとFogが悪用 Default ThumbnailVeeam Recovery Orchestratorで重大な脆弱性(CVE-2024-29855) Veeamの製品で危険度の高い複数の脆弱性(CVE-2024-38650,CVE-2024-39714)が発生しています。アップデートで解決できるので対象者は速やかにアップデートする必要があります。Veeamの製品で危険度の高い複数の脆弱性 Jenkins、暗号化された秘密情報の漏洩やクロスサイトリクエストフォージェリ (CSRF) などの複数の脆弱性を修正Jenkins、暗号化された秘密情報の漏洩やクロスサイトリクエストフォージェリ (CSRF) などの複数の脆弱性を修正