Veeam Backup＆ReplicationにCVSS 9.9の深刻な脆弱性 急ぎ対応を：セキュリティニュースアラート

Veeam Softwareは、Veeam Backup＆Replicationの重大な脆弱性（CVE-2025-23120）を発表した。リモートコード実行を可能にする脆弱性とされ、ユーザーに緊急のアップデートが推奨される。

[後藤大地，有限会社オングス]

　Veeam Softwareは2025年3月19日（現地時間）、バックアップ・レプリケーション製品「Veeam Backup＆Replication」に重大な脆弱（ぜいじゃく）性が存在することを発表した。

　この脆弱性が悪用された場合、リモートコード実行が可能とされている。

Veeamのバックアップ製品に深刻な脆弱性　リモートコード実行のリスク

　発表されたCVE情報は以下の通りだ。

• CVE-2025-23120：　リモートコード実行の脆弱性。watchTowr Labsのセキュリティ研究者により発見された欠陥とされ、認証済みのドメインユーザーに対してリモートコード実行を許してしまう。共通脆弱性評価システム（CVSS）v3.1のスコア値は9.9で深刻度「緊急」（Critical）と評価されており注意が必要

　脆弱性の影響を受けるバージョンは以下の通りだ。

• Veeam Backup＆Replication 12.3.0.310およびこれ以前の全てのバージョン12のビルド

　脆弱性が修正されたバージョンは以下の通りだ。

• Veeam Backup＆Replication 12.3.1（ビルド12.3.1.1139）およびこれ以降のバージョン

　Veeam Backup＆Replication 12.3（ビルド12.3.0.310）を使用しているユーザー向けに一時的な対策として適用可能なホットフィックスが提供されている。ただしこれは他のホットフィックスが適用されていない環境でのみ使用可能で、事前の確認が必要となる。もし別のホットフィックスが既に導入されている場合、このホットフィックスは適用できない。その場合、直接バージョン12.3.1へのアップグレードが求められる。

　今回の脆弱性発表に伴い、攻撃者がパッチをリバースエンジニアリングして未修正の環境を標的とする可能性がある。さらにセキュリティ研究者によるPoC（概念実証）が公開されることが予想される。

　Veeam Softwareは影響を受ける全てのユーザーに対し、迅速に最新バージョンにアップグレードを実施するよう推奨している。深刻度が極めて高い脆弱性であるため、該当する製品を使用している場合、セキュリティアドバイザーの内容をよく確認するとともに、必要に応じてアップデートを適用することが望まれる。