Компания Commvault выпустила обновления безопасности для устранения четырех уязвимостей, которые могут быть объединены злоумышленниками для удаленного выполнения кода (RCE) на уязвимых системах. Проблема затрагивает все версии программного обеспечения до 11.36.9, в то время как SaaS-решение Commvault не подвержено этим рискам.
Первая уязвимость, CVE-2025-57788 с оценкой CVSS 7.5, представляет собой недостаток в механизме входа в систему. Он позволяет неаутентифицированным злоумышленникам выполнять вызовы API без необходимости предоставления учетных данных пользователя, фактически обходя базовые барьеры безопасности.
Вторая проблема, CVE-2025-57789 с оценкой CVSS 5.3, проявляется на этапе начальной настройки системы, в промежутке между установкой и первым входом администратора. Используя учетные данные по умолчанию, удаленные атакующие могут получить полный административный контроль над еще не сконфигурированной системой.
Третья и наиболее серьезная уязвимость, CVE-2025-57790, оценена в 8.7 балла по шкале CVSS. Это уязвимость обхода каталога (path traversal), которая позволяет удаленным злоумышленникам получать несанкционированный доступ к файловой системе, что напрямую ведет к возможности удаленного выполнения кода.
Четвертая уязвимость, CVE-2025-57791 с оценкой CVSS 6.9, является недостатком проверки вводимых данных. Атакующие могут использовать ее для внедрения и манипулирования аргументами командной строки, что в итоге приводит к созданию действительного пользовательского сеанса с низкими привилегиями.
Специалисты по кибербезопасности из компании watchTowr Labs в своем анализе, опубликованном в минувшую среду, продемонстрировали, как эти отдельные недостатки могут быть объединены в две различные цепочки эксплойтов. Обе цепочки не требуют предварительной аутентификации и ведут к полному захвату системы.
Первая цепочка эксплойтов комбинирует CVE-2025-57791 и CVE-2025-57790. Сначала злоумышленник получает сеанс с низкими привилегиями, а затем использует уязвимость обхода каталога для повышения своих прав и выполнения произвольного кода в системе.
Вторая, более сложная цепочка, задействует CVE-2025-57788, CVE-2025-57789 и CVE-2025-57790. Она успешна только при условии, что встроенный пароль администратора не был изменен с момента первоначальной установки. В этом случае атакующий сначала выполняет вызовы API без аутентификации, затем получает контроль с учетными данными по умолчанию и, наконец, использует обход каталога для RCE.
Уязвимости были обнаружены и переданы производителю в апреле 2025 года исследователями Сонни Макдональдом и Петром Базыдло из watchTowr Labs. Проблемы были исправлены в версиях программного обеспечения 11.32.102 и 11.36.60.
Это раскрытие является частью более широкой картины проблем безопасности в продуктах компании. Менее чем за четыре месяца до этого та же лаборатория watchTowr Labs сообщила об отдельной критической уязвимости в Commvault Command Center.
Проблема, отслеживаемая как CVE-2025-34028, получила максимальную оценку 10.0 по шкале CVSS и позволяла выполнять произвольный код на затронутых установках.
Спустя месяц после ее раскрытия Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило CVE-2025-34028 в свой каталог известных эксплуатируемых уязвимостей (KEV). Основанием для этого послужили доказательства ее активной эксплуатации злоумышленниками в реальных атаках.
Изображение носит иллюстративный характер
Первая уязвимость, CVE-2025-57788 с оценкой CVSS 7.5, представляет собой недостаток в механизме входа в систему. Он позволяет неаутентифицированным злоумышленникам выполнять вызовы API без необходимости предоставления учетных данных пользователя, фактически обходя базовые барьеры безопасности.
Вторая проблема, CVE-2025-57789 с оценкой CVSS 5.3, проявляется на этапе начальной настройки системы, в промежутке между установкой и первым входом администратора. Используя учетные данные по умолчанию, удаленные атакующие могут получить полный административный контроль над еще не сконфигурированной системой.
Третья и наиболее серьезная уязвимость, CVE-2025-57790, оценена в 8.7 балла по шкале CVSS. Это уязвимость обхода каталога (path traversal), которая позволяет удаленным злоумышленникам получать несанкционированный доступ к файловой системе, что напрямую ведет к возможности удаленного выполнения кода.
Четвертая уязвимость, CVE-2025-57791 с оценкой CVSS 6.9, является недостатком проверки вводимых данных. Атакующие могут использовать ее для внедрения и манипулирования аргументами командной строки, что в итоге приводит к созданию действительного пользовательского сеанса с низкими привилегиями.
Специалисты по кибербезопасности из компании watchTowr Labs в своем анализе, опубликованном в минувшую среду, продемонстрировали, как эти отдельные недостатки могут быть объединены в две различные цепочки эксплойтов. Обе цепочки не требуют предварительной аутентификации и ведут к полному захвату системы.
Первая цепочка эксплойтов комбинирует CVE-2025-57791 и CVE-2025-57790. Сначала злоумышленник получает сеанс с низкими привилегиями, а затем использует уязвимость обхода каталога для повышения своих прав и выполнения произвольного кода в системе.
Вторая, более сложная цепочка, задействует CVE-2025-57788, CVE-2025-57789 и CVE-2025-57790. Она успешна только при условии, что встроенный пароль администратора не был изменен с момента первоначальной установки. В этом случае атакующий сначала выполняет вызовы API без аутентификации, затем получает контроль с учетными данными по умолчанию и, наконец, использует обход каталога для RCE.
Уязвимости были обнаружены и переданы производителю в апреле 2025 года исследователями Сонни Макдональдом и Петром Базыдло из watchTowr Labs. Проблемы были исправлены в версиях программного обеспечения 11.32.102 и 11.36.60.
Это раскрытие является частью более широкой картины проблем безопасности в продуктах компании. Менее чем за четыре месяца до этого та же лаборатория watchTowr Labs сообщила об отдельной критической уязвимости в Commvault Command Center.
Проблема, отслеживаемая как CVE-2025-34028, получила максимальную оценку 10.0 по шкале CVSS и позволяла выполнять произвольный код на затронутых установках.
Спустя месяц после ее раскрытия Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило CVE-2025-34028 в свой каталог известных эксплуатируемых уязвимостей (KEV). Основанием для этого послужили доказательства ее активной эксплуатации злоумышленниками в реальных атаках.
