CommVault ha publicado actualizaciones para acometer cuatro brechas de seguridad que podrían explotarse para ganar la ejecución de código remoto en instancias susceptibles.
La relación de vulnerabilidades, identificada en las versiones de CommVault antaño del 11.36.60, es la próximo –
- CVE-2025-57788 (Puntuación CVSS: 6.9) – Una vulnerabilidad en un mecanismo de inicio de sesión conocido permite a los atacantes no autenticados ejecutar llamadas API sin requerir credenciales de beneficiario
- CVE-2025-57789 (Puntuación CVSS: 5.3): una vulnerabilidad durante la escalón de configuración entre la instalación y el primer inicio de sesión del administrador que permite a los atacantes remotos explotar las credenciales predeterminadas para obtener el control de delegación
- CVE-2025-57790 (Puntuación CVSS: 8.7): una vulnerabilidad de transversal de ruta que permite a los atacantes remotos realizar llegada al sistema de archivos no competente a través de un problema transversal de ruta, lo que resulta en la ejecución del código remoto
- CVE-2025-57791 (Puntuación CVSS: 6.9): una vulnerabilidad que permite a los atacantes remotos inyectar o manipular argumentos de dirección de comandos pasados a componentes internos oportuno a la subsistencia de entrada insuficiente, lo que resulta en una sesión de beneficiario válida para un rol de bajo privilegio
Los investigadores de WatchTowr Labs, Sonny MacDonald y Piotr Bazydlo, se les ha acreditado el descubrimiento e informar los cuatro defectos de seguridad en abril de 2025. Todas las vulnerabilidades marcadas se han resuelto en las versiones 11.32.102 y 11.36.60. La alternativa SaaS de CommVault no se ve afectada.
In an analysis published Wednesday, the cybersecurity company said threat actors could fashion these vulnerabilities into two pre-authenticated exploit chains to achieve code execution on susceptible instances: One that combines CVE-2025-57791 and CVE-2025-57790, and the other that strings CVE-2025-57788, CVE-2025-57789, and CVE-2025-57790.
Vale la pena señalar que la segunda esclavitud de ejecución del código remoto previo a la autoridad se vuelve exitosa solo si la contraseña de administrador incorporada no se ha cambiado desde la instalación.
La divulgación se produce casi cuatro meses luego de que WatchToWr Labs informó una error crítica del Centro de Comando CommVault (CVE-2025-34028, puntaje CVSS: 10.0) que podría permitir la ejecución del código despótico en las instalaciones afectadas.
Un mes luego, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó la vulnerabilidad a su catálogo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotación activa en la naturaleza.
