8 mei 2024
Introductie
Veeam heeft bevestigd een kwetsbaarheid voor het remote code execution in de Veeam Service Provider Console.
CVE-2024-29212 (CVSS: 8.8 [High]) wordt veroorzaakt door een onveilige deserialisatiemethode die wordt gebruikt door de Veeam Service Provider Console-server in de communicatie tussen de beheeragent en zijn componenten. Onder bepaalde omstandigheden is het op remote code execution op de server mogelijk.
Veeam Service Provider Console wordt gebruikt door Managed Service Providers en bedrijven voor back-up- en disaster recovery-services.
De kwetsbaarheid werd ontdekt tijdens interne tests door Veeam en er zijn patches uitgebracht. Wij hopen dat dit betekent dat de impact verwaarloosbaar zal zijn.
Betrokken Producten
Versies 4.x, 5.x, 6.x, 7.x en 8.x worden beïnvloed.
Patches
Veeam Service Provider Console 7.0.0.18899
Veeam Service Provider-console 8.0.0.19236
We raden gebruikers die niet over 7.0/8.0 beschikken aan om onmiddellijk te upgraden, aangezien het erop lijkt dat eerdere versies niet zullen worden gepatcht.