Veeam修補備份集中管理工具漏洞，包括遠端執行程式碼重大漏洞

備份與資料保護軟體廠商Veeam，於12月3日發布Veeam Service Provider Console（VSPC）遠端管理控制臺的2個漏洞，並釋出修補版本。

VSPC是Veeam備份應用環境的遠端集中監控與管理工具，可以管理安裝Veeam備份代理程式的Windows、Linux、Mac系統，以及Microsoft 365平臺，並能橫跨雲端與企業內部網路環境進行管控。要啟用VSPC，必須針對納入集中管理的系統，安裝VSPC的管理代理程式（Management Agent），不過Veeam在12月3日警告，VSPC管理代理程式會導致2個漏洞，須盡速修補。

首先，是嚴重性高達9.9分的重大漏洞CVE-2024-42448，當VSPC管理代理程式在Veeam管理伺服器上獲得執行的授權時，將能在伺服器遠端任意執行各種程式碼。

其次，是嚴重性7.1分的低風險漏洞CVE-2024-42449，當VSPC管理代理程式在伺服主機上獲得授權時，有可能導致洩漏VSPC伺服器主機服務帳戶的NTLM雜湊，並刪除伺服器上的檔案。

這些漏洞會影響8.1.0.21377版以前，以及更早8.x與7.x版的VSPC，解決方法是升級到8.1.0.21999版。