Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Veeam

Fecha de publicación 29/05/2026
Identificador
INCIBE-2026-390
Importancia
4 - Alta
Recursos Afectados
  • Veeam Service Provider Console, todas las versión de la distribución 9 hasta la 9.2.0.33215;
  • Veeam Backup & Replication, todas las versión de la distribución 13 hasta la 13.0.1.2067.
Descripción

Veeam ha informado de 3 vulnerabilidades: 1 de severidad crítica y 2 alta que, en caso de ser explotadas, podrían permitir a un atacante ejecutar código en remoto, escribir ficheros arbitrarios u obtener más permisos.

Solución

Según el producto actualizarlo a la siguiente versión:

  • Veeam Service Provider Console, versión 9.2.1.33875.
  • Veeam Backup & Replication, versión 13.0.2.29.
Detalle

Las vulnerabilidades son:

  • CVE-2026-32998: permite la ejecución de código en remoto.
  • CVE-2026-32996: permite la escalada local de privilegios.
  • CVE-2026-32997: permite a un usuario autenticado con el rol de Administrador de la Copia de Seguridad (Backup Administrator), escribir ficheros arbitrarios en un servidor Veeam Backup & Replication basado en Linux.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-32998 Crítica No Veeam
CVE-2026-32997 Alta No Veeam
CVE-2026-32996 Alta No Veeam
Listado de referencias
Veeam (KB id: 4853) - Vulnerability Resolved in Veeam Service Provider Console 9.2.1
Veeam (KB id: 4852) - Vulnerabilities Resolved in Veeam Backup & Replication 13.0.2
Etiquetas