CommVault ha publicado actualizaciones para abordar cuatro brechas de seguridad que podrían explotarse para lograr la ejecución de código remoto en instancias susceptibles.
La lista de vulnerabilidades, identificada en las versiones de CommVault antes del 11.36.60, es la siguiente –
- CVE-2025-57788 (Puntuación CVSS: 6.9) – Una vulnerabilidad en un mecanismo de inicio de sesión conocido permite a los atacantes no autenticados ejecutar llamadas API sin requerir credenciales de usuario
- CVE-2025-57789 (Puntuación CVSS: 5.3): una vulnerabilidad durante la fase de configuración entre la instalación y el primer inicio de sesión del administrador que permite a los atacantes remotos explotar las credenciales predeterminadas para obtener el control de administración
- CVE-2025-57790 (Puntuación CVSS: 8.7): una vulnerabilidad de transversal de ruta que permite a los atacantes remotos realizar acceso al sistema de archivos no autorizado a través de un problema transversal de ruta, lo que resulta en la ejecución del código remoto
- CVE-2025-57791 (Puntuación CVSS: 6.9): una vulnerabilidad que permite a los atacantes remotos inyectar o manipular argumentos de línea de comandos pasados a componentes internos debido a la validación de entrada insuficiente, lo que resulta en una sesión de usuario válida para un rol de bajo privilegio
Los investigadores de WatchTowr Labs, Sonny MacDonald y Piotr Bazydlo, se les ha acreditado el descubrimiento e informar los cuatro defectos de seguridad en abril de 2025. Todas las vulnerabilidades marcadas se han resuelto en las versiones 11.32.102 y 11.36.60. La solución SaaS de CommVault no se ve afectada.
In an analysis published Wednesday, the cybersecurity company said threat actors could fashion these vulnerabilities into two pre-authenticated exploit chains to achieve code execution on susceptible instances: One that combines CVE-2025-57791 and CVE-2025-57790, and the other that strings CVE-2025-57788, CVE-2025-57789, and CVE-2025-57790.
Vale la pena señalar que la segunda cadena de ejecución del código remoto previo a la autoridad se vuelve exitosa solo si la contraseña de administrador incorporada no se ha cambiado desde la instalación.
La divulgación se produce casi cuatro meses después de que WatchToWr Labs informó una falla crítica del Centro de Comando CommVault (CVE-2025-34028, puntaje CVSS: 10.0) que podría permitir la ejecución del código arbitrario en las instalaciones afectadas.
Un mes después, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó la vulnerabilidad a su catálogo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotación activa en la naturaleza.
