Commvault CommandCenter versions prior to 11.36.60 contain a vulnerability in a known login mechanism that allows unauthenticated attackers to execute API calls without requiring user credentials.

11.36.60 より前のバージョンの Commvault CommandCenter には、既知のログインメカニズムに脆弱性が含まれています。これにより、認証されていない攻撃者が、ユーザーの認証情報を必要とせずに、API 呼び出しを実行する可能性があります。

低于 11.36.60 的Commvault CommandCenter 版本在已知登录机制中包含一个漏洞其允许未经身份验证的攻击者无需用户凭据即可执行 API 调用。

11.36.60 之前的 Commvault CommandCenter 版本之已知登入機制中含有一個弱點可允許未經驗證的攻擊者在不需要使用者認證的情況下執行 API 呼叫。

遠端主機上安裝的 Commvault 版本是比 11.32.x 舊的 11.32.102 或比 11.36.x 舊的 11.36.60。因此會受到 Commvault 公告 CV_2025_08_1、CV_2025_08_2、CV_2025_08_3 和 CV_2025_08_4 中所述多個弱點影響

  - 發現一個安全性弱點可讓遠端攻擊者插入或操控因輸入驗證不足而傳送至內部元件的命令行引數。成功惡意利用會導致低權限角色的有效使用者工作階段。 (CVE-2025-57791)

  - 發現一個安全性弱點可讓遠端攻擊者透過路徑遊走問題執行未經授權的檔案系統存取。該弱點可能導致遠端程式碼執行。
  (CVE-2025-57790)

  - 在安裝到系統管理員首次登入之間的短暫時間內遠端攻擊者可能會惡意利用預設認證來取得管理員控制權。這僅限於設定任何工作之前的設定階段。 (CVE-2025-57789)

  - 一個已知登入機制中的弱點允許未經驗證的攻擊者無需使用者認證即可執行 API 呼叫。RBAC 有助於限制曝險但無法消除風險。 (CVE-2025-57788)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

远程主机上安装的 Commvault 版本为低于 11.32.x 的 11.32.102 或低于 11.36.x 的 11.36.60。因而会受到 Commvault 公告 CV_2025_08_1、CV_2025_08_2、CV_2025_08_3 和 CV_2025_08_4 中披露的多个漏洞的影响

  - 已发现一个安全漏洞其允许远程攻击者注入或操纵传递至内部组件的命令行参数原因在于输入验证不足。成功利用此漏洞会导致低权限角色的有效用户会话。 (CVE-2025-57791)

  - 已发现一个安全漏洞其允许远程攻击者通过路径遍历问题执行未经授权的文件系统访问。该漏洞可能导致远程代码执行。
  (CVE-2025-57790)

  - 在安装版本和管理员首次登录之间的短暂时段内，远程攻击者可利用默认凭据获取管理员控制权。仅限于在配置任何作业之前的设置阶段。 (CVE-2025-57789)

  - 一个已知登录机制中的漏洞允许未经认证的攻击者无需用户凭据即可执行 API 调用。RBAC 有助于限制风险暴露，但并不能消除风险。 (CVE-2025-57788)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

リモートホストにインストールされている Commvault のバージョンは 11.32.x 、 より前の 11.32.102 または 11.36.x より前の 11.36.60です。したがって、CommvaultアドバイザリCV_2025_08_1、CV_2025_08_2、CV_2025_08_3、CV_2025_08_4に記載されているとおり、複数の脆弱性の影響を受けます。

  - 入力の検証が不十分なため、リモートの攻撃者が内部コンポーネントに渡されるコマンドライン引数を注入または操作することを可能にするセキュリティ脆弱性が特定されました。悪用に成功すると、低い権限ロールの有効なユーザーセッションが生じます。CVE-2025-57791

  - リモートの攻撃者がパストラバーサルの問題を通じて権限のないファイルシステムにアクセスすることを可能にする、セキュリティの脆弱性が特定されました。この脆弱性により、リモートのコードが実行されることがあります。
  (CVE-2025-57790)

  - インストールから最初の管理者ログインまでの短いウィンドウで、リモートの攻撃者がデフォルトの認証情報を悪用して管理者をコントロールできる可能性があります。これは、ジョブが構成される前のセットアップフェーズに限定されます。CVE-2025-57789

  - 既知のログインメカニズムの脆弱性により、認証されていない攻撃者が、ユーザーの認証情報を必要とせずに API 呼び出しを実行することができます。RBAC はエクスポージャーを制限するのに役立ちますが、リスクを排除することはできません。CVE-2025-57788

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

The version of Commvault installed on the remote host is 11.32.x prior to 11.32.102 or 11.36.x prior to 11.36.60. It is, therefore, affected by multiple vulnerabilities as disclosed in Commvault advisories CV_2025_08_1, CV_2025_08_2, CV_2025_08_3 and CV_2025_08_4:

  - A security vulnerability has been identified that allows remote attackers to inject or manipulate   command-line arguments passed to internal components due to insufficient input validation. Successful   exploitation results in a valid user session for a low privilege role. (CVE-2025-57791)

  - A security vulnerability has been identified that allows remote attackers to perform unauthorized file   system access through a path traversal issue. The vulnerability may lead to remote code execution.
  (CVE-2025-57790)

  - During the brief window between installation and the first administrator login, remote attackers may   exploit the default credential to gain admin control. This is limited to the setup phase, before any jobs   have been configured. (CVE-2025-57789)

  - A vulnerability in a known login mechanism allows unauthenticated attackers to execute API calls without   requiring user credentials. RBAC helps limit the exposure but does not eliminate risk. (CVE-2025-57788)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
115096	Commvault CommandCenter < 11.36.60 Unauthorized API Access	Web App Scanning	Component Vulnerability	2026/1/8	2026/1/8	medium
115096	Commvault CommandCenter < 11.36.60 認証されていない API アクセス	Web App Scanning	Component Vulnerability	2026/1/8	2026/1/8	medium
115096	Commvault CommandCenter < 11.36.60 未授权的 API 访问	Web App Scanning	Component Vulnerability	2026/1/8	2026/1/8	medium
115096	Commvault CommandCenter < 11.36.60 未經授權的 API 存取	Web App Scanning	Component Vulnerability	2026/1/8	2026/1/8	medium
253649	Commvault 11.32.x < 11.32.102 / 11.36.x < 11.36.60 多個弱點 (CV_2025_08_1-4)	Nessus	Windows	2025/8/22	2025/11/13	high
253649	Commvault 11.32.x < 11.32.102 / 11.36.x < 11.36.60 多个漏洞 (CV_2025_08_1-4)	Nessus	Windows	2025/8/22	2025/11/13	high
253649	Commvault 11.32.x < 11.32.102 / 11.36.x < 11.36.60 複数の脆弱性CV_2025_08_1-4	Nessus	Windows	2025/8/22	2025/11/13	high
253649	Commvault 11.32.x < 11.32.102 / 11.36.x < 11.36.60 Multiple Vulnerabilities (CV_2025_08_1-4)	Nessus	Windows	2025/8/22	2025/11/13	high

检测

插件搜索

medium

medium

medium

medium

high

high

high

high