Veeam Backup Sicherheitslücken in Version 12 und 13 erlauben teils Remote Code Execution mit CVSS bis 9,9. Betroffene Systeme sollten sofort aktualisiert werden.
Veeam Backup Sicherheitslücken in Version 12 und 13 im Detail
Veeam hat mehrere gravierende Schwachstellen in Backup & Replication geschlossen, die sich sauber nach den betroffenen Hauptversionen 12 und 13 aufdröseln lassen. Besonders kritisch ist, dass es nicht nur um klassische Remote-Code-Ausführung auf dem Backup-Server geht, sondern auch um einen Fall mit der Rolle Backup Viewer, um manipulierte Dateien in Repositories, um auslesbare SSH-Zugangsdaten und um lokale Rechteausweitung auf Windows-basierten Systemen. Laut Veeam für Version 12, Veeam für Version 13 und der BSI-Warnung ist der Fall bereits als kritisch einzuordnen; die aktuelle Veeam-Build-Übersicht führt die gefixten Stände seit 13. März 2026 als aktuelle Builds.
Betroffen sind in der 12er-Linie die Version 12.3.2.4165 und ältere Version-12-Builds, in der 13er-Linie die Version 13.0.1.1071 und ältere Version-13-Builds. Gefixt wurde laut Hersteller ab 12.3.2.4465 beziehungsweise 13.0.1.2067. Für Leser ist dabei vor allem eine Unterscheidung wichtig: Manche Schwachstellen setzen einen authentifizierten Domain-Benutzer voraus, andere einen bereits vorhandenen Rollenzugang innerhalb der Backup-Umgebung, wieder andere einen lokalen Zugriff auf Windows-Systeme. Das macht die Gesamtlage so unangenehm, weil in realen Netzen genau solche abgestuften Rechteprofile häufig bereits vorhanden oder nach einem ersten Einbruch schnell erreichbar sind.
Veeam Backup Sicherheitslücken in Version 12
In Version 12 liegt der Schwerpunkt auf mehreren kritischen Angriffswegen gegen den Backup-Server selbst sowie auf einem besonders unangenehmen Fall gegen Repositories und einer lokalen Privilegieneskalation auf Windows-basierten Servern.
- CVE-2026-21666 – CVSS 9.9
Diese Schwachstelle erlaubt einem authentifizierten Domain-Benutzer Remote Code Execution auf dem Backup-Server. Das macht sie so kritisch, weil kein lokaler Zugriff nötig ist und ein bereits vorhandenes Domänenkonto ausreichen kann, um direkt den zentralen Backup-Knoten anzugreifen. Sobald der Backup-Server im Fokus steht, geht es nicht mehr nur um einzelne Jobs, sondern potenziell um die gesamte Sicherungs- und Wiederherstellungslogik. - CVE-2026-21667 – CVSS 9.9
Auch hier geht es um Remote Code Execution durch einen authentifizierten Domain-Benutzer auf dem Backup-Server. Der Fall ist operational deshalb brisant, weil er in der Wirkung praktisch dieselbe Alarmstufe erreicht wie CVE-2026-21666: Angreifer brauchen keine Volladministration, sondern „nur“ einen passenden authentifizierten Zugang im Domänenkontext. Für Verteidiger heißt das, dass klassische Netzgrenzen allein hier nicht als Beruhigung taugen. - CVE-2026-21668 – CVSS 8.8
Diese Schwachstelle erlaubt es einem authentifizierten Domain-Benutzer, Restriktionen zu umgehen und beliebige Dateien auf einem Backup-Repository zu manipulieren. Genau das macht den Bug so gefährlich: Es geht nicht primär um sofortige Codeausführung, sondern um die Integrität der Backups. Wer Dateien in einem Repository manipulieren kann, greift damit im Kern die Vertrauensbasis der Wiederherstellung an. - CVE-2026-21672 – CVSS 8.8
Hier handelt es sich um eine lokale Rechteausweitung auf Windows-basierten Veeam-Servern. Solche Bugs wirken auf den ersten Blick weniger spektakulär als eine Netzwerk-RCE, sind aber in teilkompromittierten Umgebungen enorm wertvoll. Wer bereits einen begrenzten Fuß auf einem System hat, kann daraus erhöhte Rechte machen und den nächsten Schritt zur vollständigen Übernahme vorbereiten. - CVE-2026-21708 – CVSS 9.9
Diese Schwachstelle erlaubt einem Backup Viewer Remote Code Execution alspostgres-Benutzer. Genau dieser Punkt sticht heraus: Nicht eine klassische Administratorrolle, sondern eine vermeintlich kleinere Rolle kann hier zum Einfallstor werden. Das ist der eigentliche Kern des Problems, weil viele Unternehmen Viewer-Rollen eher für Kontrolle, Reporting oder Audit-Zwecke vergeben und ihr Risiko damit leicht unterschätzen.
Veeam Backup Sicherheitslücken in Version 13
In Version 13 ist die Lage ähnlich kritisch, zugleich aber etwas breiter gestreut. Neben RCE auf dem Backup-Server tauchen hier noch der Diebstahl gespeicherter SSH-Zugangsdaten sowie ein gesonderter Fall für HA-Deployments der Veeam Software Appliance auf.
- CVE-2026-21669 – CVSS 9.9
Ein authentifizierter Domain-Benutzer kann Remote Code Execution auf dem Backup-Server erreichen. Das ist die direkte Parallele zu den kritischsten v12-Fällen. Besonders heikel ist daran, dass der Angriff gegen den zentralen Orchestrierungspunkt der Datensicherung läuft und dadurch nicht nur Daten, sondern auch Wiederherstellungsprozesse gefährdet werden. - CVE-2026-21670 – CVSS 7.7
Diese Schwachstelle erlaubt es einem niedrig privilegierten Benutzer, gespeicherte SSH-Credentials auszulesen. Der Score liegt unter den 9.x-Fällen, der praktische Wert für Angreifer bleibt aber hoch. Zugangsdaten sind in Backup-Umgebungen oft der Hebel für Seitwärtsbewegungen, für den Zugriff auf Repositories oder für den Sprung in weitere Infrastruktursegmente. - CVE-2026-21671 – CVSS 9.1
Hier kann ein authentifizierter Benutzer mit der Rolle Backup Administrator in High-Availability-Deployments der Veeam Software Appliance Code ausführen. Das macht die Schwachstelle besonders, weil sie nicht pauschal jede Installation trifft, sondern gezielt HA-Szenarien. Wer diese Betriebsform nutzt, muss den Fall deshalb nicht nur als generischen Patch, sondern als potenziell geschäftskritische Konfigurationsfrage behandeln. - CVE-2026-21672 – CVSS 8.8
Wie in Version 12 geht es um lokale Rechteausweitung auf Windows-basierten Veeam-Servern. Gerade in Kettenangriffen ist so ein Bug wertvoll, weil er aus einer begrenzten Präsenz auf dem System schnell eine höher privilegierte Position machen kann. - CVE-2026-21708 – CVSS 9.9
Auch in Version 13 kann ein Backup Viewer Remote Code Execution alspostgres-Benutzer auslösen. Für die Priorisierung ist das einer der wichtigsten Punkte überhaupt. Die Schwachstelle zeigt, dass nicht nur klassische Admin-Rollen neu bewertet werden müssen, sondern auch Rollen, die in vielen Umgebungen routinemäßig mit weniger Skepsis vergeben wurden.
Kritikalität der dieser Schwachstellen
Die eigentliche Message hinter dieser Schwachstellenserie lautet nicht nur „hohe Scores“, sondern „mehrere realistische Angriffswege gegen Backup-Infrastruktur“. In Version 12 dominieren die unmittelbaren RCE- und Repository-Risiken, in Version 13 kommt zusätzlich der Appliance- und Credential-Aspekt stärker zum Tragen. Für Patch- und Change-Teams ist genau diese Trennung nützlich, weil sie daraus sofort Maßnahmen ableiten können: Windows-basierte Backup-Server priorisieren, HA-Appliance-Deployments gesondert prüfen, Rollen wie Backup Viewer und Backup Administrator neu bewerten und gespeicherte SSH-Zugangsdaten nach dem Update möglichst rotieren.
Wer Veeam Backup & Replication in Version 12 oder 13 betreibt, sollte nicht nur patchen, sondern gleichzeitig die Rechtevergabe, den Netzwerkzugang zum Backup-Server und den Schutz der Repositories überprüfen. Genau dort entscheidet sich, ob aus einer kritischen Sicherheitsmeldung nur ein administrativer Aufwand wird oder ein echter Resilienz-Fall.
