CVE-2022-26500
CVE-2022-26500
Vexday Risk Score
51Atención
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 8.8EPSS 5.9%KEV simPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
17 mar 2022Publicada en NVD
13 dic 2022Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una falla de seguridad en Veeam Backup & Replication permite que usuarios autenticados eludan restricciones de ruta y accedan a funciones internas de la API, posibilitando la carga y ejecución de código malicioso en el sistema.
Detalle técnico
Limitación inadecuada de nombres de ruta (CWE-22) en Veeam Backup & Replication 9.5U3-U4, 10.x y 11.x permite que atacantes autenticados remotamente eludan controles de acceso en puntos finales internos de la API, facilitando la carga y ejecución de código arbitrario con privilegios elevados.
Resumen generado y traducido por IA a partir de la descripción oficial.
Improper limitation of path names in Veeam Backup & Replication 9.5U3, 9.5U4,10.x, and 11.x allows remote authenticated users access to internal API functions that allows attackers to upload and execute arbitrary code.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →