老牌备份与数据保护软件厂商Commvault,于8月19日披露影响备份软件平台的4项漏洞,并发布修补。
这4项漏洞是由watchTowr安全研究人员于今年4月发现与通报,存在于11.32.0到11.32.101版,与11.36.0到11.36.59版以前的Commvault软件平台中。但Commvault官方的安全建议通报只提供这4个漏洞的内部编号,而未提供CVE漏洞编号资讯,不过其他安全研究人员则确认了这4个漏洞的CVE编号。
其中最严重的漏洞,是编号为CVE-2025-57790的漏洞(Commvault安全建议编号CV_2025_08_2),为CVSS严重性等级评分8.7的重大漏洞,会导致远程攻击者通过软件中的路径遍历问题,在未授权下访问文件系统,进而从远程执行程序代码
至于这次修补的另3个漏洞CVE-2025-57788、CVE-2025-57789与CVE-2025-57791(Commvault安全建议编号为CV_2025_08_3、CV_2025_08_4与CV_2025_08_1),CVSS严重性等级评分为6.9、5.3与6.9,分别会导致未授权攻击者利用登录漏洞在无验证情形下执行API调用,攻击者利用系统安装与管理者首次登录间的短暂间隙,利用默认凭证取得管理者权限,以及远程攻击者注入或操纵传递给内部组件的命令行,从而让低权限角色获得有效的用户会话(user session)。
这4个漏洞的解决方法,都是将Commvault平台升级到11.32.102版与11.36.60版。Commvault的SaaS服务则不受前述漏洞影响。
