Veeam

備份與資料保護軟體廠商Veeam，於12月3日發布Veeam Service Provider Console（VSPC）遠端管理控制臺的2個漏洞，並釋出修補版本。

VSPC是Veeam備份應用環境的遠端集中監控與管理工具，可以管理雲端與本地端安裝了Veeam備份代理程式的Windows、Linux、Mac與Microsoft 365平臺。要啟用VSPC，必須針對納入集中管理的系統，安裝VSPC的管理代理程式（Management Agent），不過Veeam在12月3日警告，VSPC管理代理程式會導致2個漏洞，須盡速修補。

首先，是嚴重性高達9.9分的重大漏洞CVE-2024-42448，當VSPC管理代理程式在伺服主機上獲得授權時，將能在伺服器上遠端執行程式碼。

其次，是嚴重性7.1分的低風險漏洞CVE-2024-42449，當VSPC管理代理程式在伺服主機上獲得授權時，有可能導致洩漏VSPC伺服器主機服務帳戶的NTLM雜湊，並刪除伺服器上的檔案。

這些漏洞會影響8.1.0.21377版以前，以及更早8.x與7.x版的VSPC，解決方法是升級到8.1.0.21999版。