Commvault 11.32.x < 11.32.102 / 11.36.x < 11.36.60 多個弱點 (CV_2025_08_1-4)
high Nessus Plugin ID 253649
語言:
概要
遠端主機上安裝的 Commvault 執行個體受到多個弱點影響。說明
遠端主機上安裝的 Commvault 版本是比 11.32.x 舊的 11.32.102 或比 11.36.x 舊的 11.36.60。因此會受到 Commvault 公告 CV_2025_08_1、CV_2025_08_2、CV_2025_08_3 和 CV_2025_08_4 中所述多個弱點影響- 發現一個安全性弱點可讓遠端攻擊者插入或操控因輸入驗證不足而傳送至內部元件的命令行引數。成功惡意利用會導致低權限角色的有效使用者工作階段。 (CVE-2025-57791)
- 發現一個安全性弱點可讓遠端攻擊者透過路徑遊走問題執行未經授權的檔案系統存取。該弱點可能導致遠端程式碼執行。
(CVE-2025-57790)
- 在安裝到系統管理員首次登入之間的短暫時間內遠端攻擊者可能會惡意利用預設認證來取得管理員控制權。這僅限於設定任何工作之前的設定階段。 (CVE-2025-57789)
- 一個已知登入機制中的弱點允許未經驗證的攻擊者無需使用者認證即可執行 API 呼叫。RBAC 有助於限制曝險但無法消除風險。 (CVE-2025-57788)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 11.32.102、11.36.60 或更新版本。另請參閱
http://www.nessus.org/u?0f451838
http://www.nessus.org/u?e8701f3a
Plugin 詳細資訊
嚴重性: High
ID: 253649
檔案名稱: commvault_CV_2025_08_1-4.nasl
版本: 1.1
類型: local
代理程式: windows
系列: Windows
已發布: 2025/8/22
已更新: 2025/8/22
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v3
風險因素: High
基本分數: 8.8
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS v4
風險因素: High
Base Score: 8.7
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
弱點資訊
CPE: cpe:/a:commvault:commvault
必要的 KB 項目: installed_sw/Commvault
修補程式發佈日期: 2025/8/19
弱點發布日期: 2025/8/19
參考資訊
CVE: CVE-2025-57788, CVE-2025-57789, CVE-2025-57790, CVE-2025-57791
IAVA: 2025-A-0625