2025年6月17日、Veeamはデータ保護ソリューション「Veeam Backup & Replication」および「Veeam Agent for Microsoft Windows」に対し、重大なセキュリティアップデートを公開しました。重大な脆弱性(CVE-2025-23121)など、合計3件の問題を修正しており、影響を受ける環境を運用している場合は速やかな適用が求められます。
目次
修正された脆弱性の概要
CVE-2025-23121(CVSS 9.9/Critical)
認証済みのドメインユーザーが、バックアップサーバー上で任意のコードを実行できる脆弱性です。Veeam Backup & Replication 12.3.1.1139以前のすべての12系ビルドに影響し、アップデート版「12.3.2.3617」で対処されています。
CVE-2025-24286(CVSS 7.2/High)
いわゆるBackup Operator権限を持つユーザーが、バックアップジョブを改ざんすることでコード実行につながる脆弱性です。複数ユーザーによる運用環境でリスクが高まるため、同じく12.3.2.3617への更新が必要です。
CVE-2025-24287(CVSS 6.1/Medium)
Veeam Agent for Microsoft Windows(6.3.1.1074以前)に存在する脆弱性で、ローカルユーザーがディレクトリを操作・改変できることで、権限昇格によるコード実行に至る可能性があります。修正版は6.3.2.1205に含まれています。
アップデート方法と推奨事項
脆弱性を解消したバージョンは以下のとおりです。
- Veeam Backup & Replication 12.3.2(build 12.3.2.3617)
- Veeam Agent for Microsoft Windows 6.3.2(build 6.3.2.1205)
いずれもVeeamの公式ダウンロードページから入手可能です。既存環境では、パッチ適用前後のバックアップおよび動作確認を行い、業務への影響を最小限に抑えつつ迅速な更新を実施してください。
また、Veeamでは脆弱性開示プログラム(VDP)を通じた報告や内部コード監査を行い、問題発見から修正までの透明性を担保しています。







