CommVault ha publicado actualizaciones para invadir cuatro brechas de seguridad que podrían explotarse para alcanzar la ejecución de código remoto en instancias susceptibles.
La índice de vulnerabilidades, identificada en las versiones de CommVault antiguamente del 11.36.60, es la venidero –
- CVE-2025-57788 (Puntuación CVSS: 6.9) – Una vulnerabilidad en un mecanismo de inicio de sesión conocido permite a los atacantes no autenticados ejecutar llamadas API sin requerir credenciales de favorecido
- CVE-2025-57789 (Puntuación CVSS: 5.3): una vulnerabilidad durante la etapa de configuración entre la instalación y el primer inicio de sesión del administrador que permite a los atacantes remotos explotar las credenciales predeterminadas para obtener el control de oficina
- CVE-2025-57790 (Puntuación CVSS: 8.7): una vulnerabilidad de transversal de ruta que permite a los atacantes remotos realizar camino al sistema de archivos no calificado a través de un problema transversal de ruta, lo que resulta en la ejecución del código remoto
- CVE-2025-57791 (Puntuación CVSS: 6.9): una vulnerabilidad que permite a los atacantes remotos inyectar o manipular argumentos de cuerda de comandos pasados a componentes internos oportuno a la empuje de entrada insuficiente, lo que resulta en una sesión de favorecido válida para un rol de bajo privilegio
Los investigadores de WatchTowr Labs, Sonny MacDonald y Piotr Bazydlo, se les ha acreditado el descubrimiento e informar los cuatro defectos de seguridad en abril de 2025. Todas las vulnerabilidades marcadas se han resuelto en las versiones 11.32.102 y 11.36.60. La decisión SaaS de CommVault no se ve afectada.
In an analysis published Wednesday, the cybersecurity company said threat actors could fashion these vulnerabilities into two pre-authenticated exploit chains to achieve code execution on susceptible instances: One that combines CVE-2025-57791 and CVE-2025-57790, and the other that strings CVE-2025-57788, CVE-2025-57789, and CVE-2025-57790.
Vale la pena señalar que la segunda dependencia de ejecución del código remoto previo a la autoridad se vuelve exitosa solo si la contraseña de administrador incorporada no se ha cambiado desde la instalación.
La divulgación se produce casi cuatro meses posteriormente de que WatchToWr Labs informó una equivocación crítica del Centro de Comando CommVault (CVE-2025-34028, puntaje CVSS: 10.0) que podría permitir la ejecución del código gratuito en las instalaciones afectadas.
Un mes posteriormente, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó la vulnerabilidad a su catálogo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotación activa en la naturaleza.
