anonhaven

CVE-2024-40711

CRITICAL CVSS 3.1: 9,8 EPSS 68.2% ACTIVE EXPLOIT
Обновлено 30 октября 2025
Veeam

Уязвимость из каталога CISA KEV — активно эксплуатируется

Эта уязвимость активно используется злоумышленниками. Необходимо принять меры как можно скорее.

Срок устранения: 7 ноября 2024

Параметр Значение
CVSS 9,8 (CRITICAL)
Уязвимые версии 12.0.0.1420 — 12.2.0.334
Устранено в версии 12.2.0.334
Тип уязвимости CWE-502 (Десериализация недоверенных данных)
Поставщик Veeam
Публичный эксплойт Да

Десериализация уязвимости ненадежных данных с вредоносной полезной нагрузкой может привести к удаленному выполнению кода без проверки подлинности (RCE).

Показать оригинальное описание (EN)

A deserialization of untrusted data vulnerability with a malicious payload can allow an unauthenticated remote code execution (RCE).

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-502 Deserialization of Untrusted Data (Десериализация недоверенных данных)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Veeam Veeam_Backup_\&_Replication
cpe:2.3:a:veeam:veeam_backup_\&_replication:*:*:*:*:*:*:*:*
 12.0.0.1420 12.2.0.334

Ссылки 3

https://www.veeam.com/kb4649
support@hackerone.com
https://labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-witho…
134c704f-9b21-4f2e-91b3-4a467353bcc0
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024…
134c704f-9b21-4f2e-91b3-4a467353bcc0
Share Post Share Share Share

Связанные уязвимости

CVE-2026-21671

Veeam

9,1

CVE-2026-21670

Veeam

6,5

CVE-2026-21669

Veeam

9,9

CVE-2026-21668

Veeam

6,5

CVE-2026-21667

Veeam

8,8