# CVE-2026-21669 - Veeam Backup & Replication v13 RCE via Backup Server > CVSS: 9.9 - EPSS: pendente - Vendor: Veeam - Patch: Sim (13.0.1.2067) - CISA KEV: Não ## Resumo **CVE-2026-21669** é uma vulnerabilidade de execução remota de código (RCE) no [[_veeam|Veeam]] Backup & Replication versão 13, afetando específicamente deployments Windows-based. Um usuário autenticado do domínio pode executar código arbitrário no Backup Server. Descoberta durante testes internos da Veeam, a falha foi corrigida na versão 13.0.1.2067. Esta CVE é o equivalente da [[cve-2026-21666|CVE-2026-21666]] para a branch v13 do produto. **Pontuação de risco:** - CVSS v3.1: **9.9** (Crítico) - CWE: CWE-284 (Improper Access Control) - CISA KEV: não listado - Exploit público: não confirmado ## Impacto Técnico - **Execução de código remoto:** código arbitrário no contexto do Backup Server v13 - **Comprometimento total:** acesso a todos os jobs de backup e credenciais armazenadas - **Destruição de dados:** capacidade de eliminar ou criptografar repositórios de backup - **Escopo ampliado:** o scope "Changed" (S:C) indica impacto além do componente vulnerável **Impacto para organizações LATAM/Brasil:** Organizações que migraram para Veeam v13 recentemente podem estar expostas. Setores [[financial|financeiro]] e [[telecommunications|telecomúnicações]] no Brasil são alvos prioritários de [[ransomware]]. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | [[_veeam\|Veeam]] | Backup & Replication v13 | <= 13.0.1.1071 (Windows) | 13.0.1.2067 | ## Patch e Mitigação **Patch oficial:** - Advisory: [Veeam KB4831](https://www.veeam.com/kb4831) - Versão corrigida: 13.0.1.2067 - Data: 2026-03-12 **Mitigações temporárias:** - Isolar Backup Server do domínio AD de produção - Restringir acesso de rede ao servidor - Considerar migração para Veeam Software Appliance (Linux) como medida de hardening ## Exploração Ativa **Status atual:** sem exploração ativa confirmada individualmente. Parte do cluster de 4 CVEs CVSS 9.9 na campanha [[veeam-ransomware-exploitation-2026]]. ## CISA KEV Esta vulnerabilidade **não está listada** no CISA KEV Catalog. ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-21666|CVE-2026-21666]] - [[cve-2026-21667|CVE-2026-21667]] - [[cve-2026-21708|CVE-2026-21708]] **Campanhas:** [[veeam-ransomware-exploitation-2026]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] - [[t1490-inhibit-system-recovery|T1490]] - [[t1078-valid-accounts|T1078]] **Setores em risco:** [[financial|financeiro]] - [[telecommunications|telecomúnicações]]