# CVE-2026-21708 - Veeam Backup Viewer RCE como Postgres > CVSS: 9.9 - EPSS: pendente - Vendor: Veeam - Patch: Sim - CISA KEV: Não ## Resumo **CVE-2026-21708** é uma vulnerabilidade de execução remota de código no [[_veeam|Veeam]] Backup & Replication que permite a um usuário com o papel "Backup Viewer" (somente leitura) executar código como o usuário `postgres` no servidor de banco de dados. Esta CVE é especialmente preocupante porque o papel Backup Viewer deveria ser somente leitura - a escalada para execução de código como postgres representa uma quebra fundamental do modelo de permissões do Veeam. Afeta tanto v12 quanto v13. **Pontuação de risco:** - CVSS v3.1: **9.9** (Crítico) - Vetor: Rede, baixa complexidade, privilégios baixos - Afeta: Windows e Veeam Software Appliance - Descoberta: testes internos Veeam ## Impacto Técnico - **RCE como postgres:** execução de código no contexto do banco de dados PostgreSQL - **Escalada de privilégios:** de Backup Viewer (read-only) para execução de código - **Acesso a dados:** leitura/modificação de todos os metadados de backup no PostgreSQL - **Pivot:** potencial acesso ao sistema operacional via funcionalidades nativas do PostgreSQL **Impacto para organizações LATAM/Brasil:** Ambientes que delegam acesso de visualização a múltiplos operadores estão em risco. A falha permite que qualquer operador com credenciais "Viewer" escale para execução de código. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | [[_veeam\|Veeam]] | Backup & Replication v12 | <= 12.3.2.4165 | 12.3.2.4465 | | [[_veeam\|Veeam]] | Backup & Replication v13 | <= 13.0.1.1071 | 13.0.1.2067 | ## Patch e Mitigação **Patch oficial:** - Advisory v12: [Veeam KB4830](https://www.veeam.com/kb4830) - Advisory v13: [Veeam KB4831](https://www.veeam.com/kb4831) - Data: 2026-03-12 **Mitigações temporárias:** - Revogar acessos Backup Viewer desnecessários - Monitorar queries ao PostgreSQL do Veeam - Restringir acesso de rede ao servidor ## Exploração Ativa **Status atual:** sem exploração ativa confirmada. Mas o padrão de weaponização rápida de CVEs Veeam (precedente 2024) indica alto risco. ## CISA KEV Esta vulnerabilidade **não está listada** no CISA KEV Catalog. ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-21666|CVE-2026-21666]] - [[cve-2026-21667|CVE-2026-21667]] - [[cve-2026-21669|CVE-2026-21669]] **Campanhas:** [[veeam-ransomware-exploitation-2026]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] - [[t1068-exploitation-for-privilege-escalation|T1068]] - [[t1490-inhibit-system-recovery|T1490]] **Setores em risco:** [[financial|financeiro]] - [[government|governo]]