Veeam - CVE-2026-32998
Date de publication :
Il s'agit d'une vulnérabilité dans le mécanisme de gestion des alarmes de Veeam Service Provider Console.
Veeam Service Provider Console est une plateforme de gestion centralisée destinée aux fournisseurs de services managés, qui permet la supervision, la facturation et l'administration des solutions de sauvegarde et de reprise d'activité Veeam déployées chez leurs clients.
Lorsque la fonctionnalité d'exécution de scripts dans les alarmes est activée, les paramètres transmis lors du déclenchement d'une alarme ne sont pas correctement traités avant d'être utilisés dans une action d'exécution de script. Un attaquant authentifié peut exploiter ce traitement insuffisant pour faire exécuter du code arbitraire par le serveur VSPC. La fonctionnalité d'exécution de scripts dans les alarmes est désactivée par défaut en version 9.2 et l'exploitation n'est possible que si des alarmes avec action d'exécution de script ont été configurées.
Elle permet une exécution de code arbitraire à distance avec un impact sur le système hébergeant la console et potentiellement sur les systèmes gérés.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire (à distance)
Exploitation
CWE-233 : Improper Handling of Parameters
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Veeam Service Provider Console versions 9.2.0.33215 et toutes versions antérieures de la branche 9