Commvault 11.32.x < 11.32.102 / 11.36.x < 11.36.60 多个漏洞 (CV_2025_08_1-4)
high Nessus 插件 ID 253649
语言:
简介
远程主机上安装的 Commvault 实例受到多个漏洞的影响。描述
远程主机上安装的 Commvault 版本为低于 11.32.x 的 11.32.102 或低于 11.36.x 的 11.36.60。因而会受到 Commvault 公告 CV_2025_08_1、CV_2025_08_2、CV_2025_08_3 和 CV_2025_08_4 中披露的多个漏洞的影响- 已发现一个安全漏洞其允许远程攻击者注入或操纵传递至内部组件的命令行参数原因在于输入验证不足。成功利用此漏洞会导致低权限角色的有效用户会话。 (CVE-2025-57791)
- 已发现一个安全漏洞其允许远程攻击者通过路径遍历问题执行未经授权的文件系统访问。该漏洞可能导致远程代码执行。
(CVE-2025-57790)
- 在安装版本和管理员首次登录之间的短暂时段内,远程攻击者可利用默认凭据获取管理员控制权。仅限于在配置任何作业之前的设置阶段。 (CVE-2025-57789)
- 一个已知登录机制中的漏洞允许未经认证的攻击者无需用户凭据即可执行 API 调用。RBAC 有助于限制风险暴露,但并不能消除风险。 (CVE-2025-57788)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到版本 11.32.102、11.36.60 或更高版本。另见
http://www.nessus.org/u?0f451838
http://www.nessus.org/u?e8701f3a
插件详情
严重性: High
ID: 253649
文件名: commvault_CV_2025_08_1-4.nasl
版本: 1.1
类型: local
代理: windows
系列: Windows
发布时间: 2025/8/22
最近更新时间: 2025/8/22
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v3
风险因素: High
基本分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS v4
风险因素: High
Base Score: 8.7
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
漏洞信息
CPE: cpe:/a:commvault:commvault
必需的 KB 项: installed_sw/Commvault
补丁发布日期: 2025/8/19
漏洞发布日期: 2025/8/19
参考资料信息
CVE: CVE-2025-57788, CVE-2025-57789, CVE-2025-57790, CVE-2025-57791
IAVA: 2025-A-0625