Veeam 发布了安全更新，以解决影响服务提供商控制台 (VSPC) 的严重漏洞，该漏洞可能为在易受攻击的实例上执行远程代码铺平道路。

该漏洞的编号为 CVE-2024-42448，CVSS 评分为 9.9（满分 10.0）。该公司指出，该漏洞是在内部测试期间发现的。

Veeam在一份咨询报告中表示： “从 VSPC 管理代理机器，在管理代理在服务器上获得授权的情况下，可以在 VSPC 服务器机器上执行远程代码执行 (RCE)。

Veeam 修补的另一个缺陷与漏洞有关（CVE-2024-42449，CVSS 评分：7.1），该漏洞可能被滥用来泄露 VSPC 服务器服务帐户的 NTLM 哈希并删除 VSPC 服务器计算机上的文件。

这两个已发现的漏洞均影响 Veeam Service Provider Console 8.1.0.21377 以及所有早期版本的 7 和 8 版本。这些漏洞已在 8.1.0.21999 版本中得到解决。

Veeam 进一步表示，没有缓解措施可以解决这些问题，唯一的解决方案是升级到该软件的最新版本。

由于 Veeam 产品中的缺陷被威胁行为者滥用来部署勒索软件，用户必须尽快采取措施来保护他们的实例。