Pre-Auth Exploit Chains Found in Commvault Could Enable Remote Code Execution Attacks
Mis à jour :
Vulnérabilités critiques chez Commvault : Risque d’exécution de code à distance
Des failles de sécurité importantes ont été identifiées dans les versions de Commvault antérieures à la 11.36.60, ouvrant la porte à des attaques permettant l’exécution de code à distance. Ces vulnérabilités, découvertes par watchTowr Labs, peuvent être enchaînées pour exploiter des systèmes sans nécessiter d’authentification préalable.
Points clés :
- Quatre failles ont été corrigées, permettant potentiellement l’exécution de code à distance sur des instances vulnérables.
- Il est possible de combiner ces vulnérabilités pour créer des chaînes d’exploitation sans authentification.
- La solution Commvault SaaS n’est pas affectée.
Vulnérabilités identifiées :
- CVE-2025-57788 (Score CVSS : 6.9) : Permet à des attaquants non authentifiés d’exécuter des appels d’API sans identifiants via un mécanisme de connexion.
- CVE-2025-57789 (Score CVSS : 5.3) : Pendant la phase de configuration initiale, les identifiants par défaut peuvent être exploités par des attaquants distants pour obtenir un contrôle administrateur.
- CVE-2025-57790 (Score CVSS : 8.7) : Une vulnérabilité de “path traversal” permet un accès non autorisé au système de fichiers, menant à l’exécution de code à distance.
- CVE-2025-57791 (Score CVSS : 6.9) : Une validation d’entrée insuffisante permet l’injection ou la manipulation d’arguments de ligne de commande, octroyant une session utilisateur valide pour un rôle de faible privilège.
Chaînes d’exploitation pré-authentification possibles :
- Combinaison de CVE-2025-57791 et CVE-2025-57790.
- Combinaison de CVE-2025-57788, CVE-2025-57789 et CVE-2025-57790 (fonctionne si le mot de passe administrateur par défaut n’a pas été modifié).
Recommandations :
- Les utilisateurs de Commvault sont fortement encouragés à mettre à jour leurs instances vers les versions 11.32.102 ou 11.36.60 pour bénéficier des correctifs de sécurité.