L’éditeur Veeam a publié une mise à jour de sécurité importante pour Veeam Backup & Replication. Elle corrige pas moins de 5 failles de sécurité, dont 3 qui sont classées comme critiques avec des scores CVSS flirtant avec la note maximale. Quels sont les risques ? Voici ce qu’il faut savoir.

Cinq vulnérabilités corrigées, dont trois critiques !

Ce nouveau bulletin de sécurité publié le 12 mars 2026 (KB4831) par Veeam référence 5 failles de sécurité affectant Veeam Backup & Replication 13. Parmi elles, trois vulnérabilités permettent une exécution de code à distance (RCE), ce qui ouvre la porte à la compromission de l’infrastructure de sauvegarde.

Il est à noter que toutes ces vulnérabilités ont un point commun : l’attaquant doit être authentifié pour envisager une exploitation. Néanmoins, les privilèges varient d’une faille à l’autre, parfois il faut simplement un compte sur le domaine Active Directory, tandis que parfois il faut un rôle spécifique au niveau de l’application.

Commençons par évoquer les trois failles critiques :

• CVE-2026-21669 (CVSS 9.9/10) :

C’est probablement la vulnérabilité la plus importante ! Elle permet à un utilisateur authentifié avec un compte du domaine Active Directory d’exécuter du code à distance (RCE) directement sur le serveur de sauvegarde. L’occasion de rappeler qu’intégrer le serveur de sauvegarde Veeam au domaine (de production) est une mauvaise pratique.

• CVE-2026-21708 (CVSS 9.9/10) :

Cette faille permet à un utilisateur disposant du simple rôle “Backup Viewer” de réaliser une RCE en tant qu’utilisateur . Elle touche à la fois les déploiements Windows et la Veeam Software Appliance.

• CVE-2026-21671 (CVSS 9.1/10) :

Dans les environnements configurés en haute disponibilité basés sur l’appliance Veeam, un utilisateur authentifié avec le rôle “Backup Administrator” peut exécuter du code à distance sur le serveur.

À ces failles critiques s’ajoutent deux autres vulnérabilités considérées comme importantes :

• CVE-2026-21672 (CVSS 8.8) :

En exploitant cette vulnérabilité, un attaquant local peut élever ses privilèges sur les serveurs Windows où est installée la solution Veeam. Ce n’est pas spécifié, mais il est probable qu’il puisse obtenir les privilèges SYSTEM.

• CVE-2026-21670 (CVSS 7.7) :

Enfin, cette dernière faille de sécurité permet à un utilisateur disposant de faibles privilèges d’extraire les identifiants SSH enregistrés. Cela peut donc lui permettre la main sur d’autres comptes, et donc de réaliser des mouvements latéraux sur le réseau.

Comment se protéger et corriger ces failles ?

Vous l’aurez compris, ce patch de sécurité pour Veeam Backup & Replication 13 est important. L’éditeur américain précise d’ailleurs que ces failles affectent toutes les versions de la solution (en version 13), à l’exception de celle qui contient le correctif : Veeam Backup & Replication 13.0.1.2067.

“Il est important de noter qu’une fois qu’une vulnérabilité et son correctif associé sont divulgués, les attaquants tenteront probablement d’effectuer de la rétro-ingénierie sur le correctif pour exploiter les déploiements non corrigés du logiciel Veeam.”, prévient Veeam.

Si vous utilisez Veeam Backup & Replication 12, ne rigolez pas. Cette version est aussi affectée par 5 failles de sécurité, dont certaines sont communes avec la version 13 (comme la CVE-2026-21708). Si vous utilisez encore cette mouture, vous devez installer cette version : Veeam Backup & Replication 12.3.2.4465. Consultez cette page pour plus de précisions.

Bon courage !