つみかさね

CVE-2026-21708

Critical(9.9)

CVE-2026-21708 — Veeam Backup & Replication SQLインジェクションによるRCE

公開日: 2026-05-11データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Veeam Backup & ReplicationVeeamKB4830/KB4831記載の修正前バージョン

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Veeam Backup & Replicationの利用有無を確認する
  2. 2KB4830/KB4831を参照し、影響バージョンか確認する
  3. 3修正バージョンへアップデートを実施する
  4. 4Backup Viewerロールのアカウント棚卸しを行う

影響対象

Veeam Backup & Replication利用者

補足

  • -同時に公開されたCVE-2026-21669/21671/21668/21672/21670も確認してください
CVEVeeamSQLインジェクションRCE

概要

Veeam Backup & Replicationにおいて、Backup Viewerロール(読み取り専用)を持つユーザーがSQLインジェクションを介してpostgresユーザーとしてリモートコード実行(RCE)を行える脆弱性です。読み取り専用の権限しか持たないユーザーであっても、バックアップサーバー上でデータベースユーザー権限でのコード実行が可能となるため、非常に深刻です。

CVSSベクトル

項目
CVSSスコア9.9(Critical)
CWECWE-89(SQLインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル低(Backup Viewer)

影響を受けるソフトウェア

  • 製品: Veeam Backup & Replication
  • 修正情報: Veeam KB4830 / KB4831 に記載の修正バージョン

修正バージョンと回避策

Veeamが公開している以下のナレッジベース記事に従い、修正バージョンへアップデートしてください。

アップデートが困難な場合は、Backup Viewerロールのアカウントアクセスを制限することを検討してください。

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-21669Veeam Backup RCE(ドメインユーザー)CVSS 9.9CVE-2026-21671Veeam Backup HA構成RCECVSS 9.1CVE-2026-21668Veeam Backup 任意ファイル操作CVSS 8.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-21708
Veeam KB4830:https://www.veeam.com/kb4830
Veeam KB4831:https://www.veeam.com/kb4831
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。