Multiple critical vulnerabilities in Veeam Backup & Replication, including remote code execution, privilege escalation, and data confidentiality breaches, have been disclosed. Affected systems are Veeam Backup & Replication versions 12.x prior to 12.3.2.4465 and versions 13.x prior to 13.0.1.2067. The resolution is to apply the vendor-provided patches detailed in Veeam security bulletins kb4830 and kb4831.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 12 mars 2026 N° CERTFR-2026-AVI-0282 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans Veeam Backup & Replication Gestion du document Référence CERTFR-2026-AVI-0282 Titre Multiples vulnérabilités dans Veeam Backup & Replication Date de la première version 12 mars 2026 Date de la dernière version 12 mars 2026 Source(s) Bulletin de sécurité Veeam kb4830 du 11 mars 2026 Bulletin de sécurité Veeam kb4831 du 11 mars 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à l'intégrité des données Atteinte à la confidentialité des données Contournement de la politique de sécurité Exécution de code arbitraire à distance Élévation de privilèges Systèmes affectés Veeam Backup & Replication versions 12.x antérieures à 12.3.2.4465 Veeam Backup & Replication versions 13.x antérieures à 13.0.1.2067 Résumé De multiples vulnérabilités ont été découvertes dans Veeam Backup & Replication. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Veeam kb4830 du 11 mars 2026 https://www.veeam.com/kb4830 Bulletin de sécurité Veeam kb4831 du 11 mars 2026 https://www.veeam.com/kb4831 Référence CVE CVE-2026-21666 https://www.cve.org/CVERecord?id=CVE-2026-21666 Référence CVE CVE-2026-21667 https://www.cve.org/CVERecord?id=CVE-2026-21667 Référence CVE CVE-2026-21668 https://www.cve.org/CVERecord?id=CVE-2026-21668 Référence CVE CVE-2026-21669 https://www.cve.org/CVERecord?id=CVE-2026-21669 Référence CVE CVE-2026-21670 https://www.cve.org/CVERecord?id=CVE-2026-21670 Référence CVE CVE-2026-21671 https://www.cve.org/CVERecord?id=CVE-2026-21671 Référence CVE CVE-2026-21672 https://www.cve.org/CVERecord?id=CVE-2026-21672 Référence CVE CVE-2026-21708 https://www.cve.org/CVERecord?id=CVE-2026-21708 Gestion détaillée du document le 12 mars 2026 Version initiale