Veri yedekleme ve çoğaltma uzmanı CommVault, temel yazılım ürününde iki farklı uzaktan kod yürütme (RCE) istismar zincirlerine ulaşmak için birleştirilebilen dört güvenlik açığını kapsayan yamalar yayınladı.
Dört konu, bu yılın başlarında başka bir RCE kusuru-CVE-2025-34028-tökezledikten sonra CommVault’un yazılımını araştıran WatchTowr güvenlik açığı araştırmacıları tarafından keşfedildi.
Araştırmacılar açıklama bildirimlerinde, “Arkadaş canlısı mahalle fidye yazılımı çetelerimiz ve APT gruplarımız gibi, kritik kurumsal sınıf çözümlerine-gerçekten iyi bir ipin yapıldığını düşündüğümüz şeylere bakarak zaman harcamaya devam ettik” dedi. “[And] Tarih boyunca gördüğümüz gibi… Yedekleme ve çoğaltma çözümleri, tehdit aktörleri için yüksek değerli bir hedefi temsil ediyor.
“Daha önce tartıştığımız CVE-2025-34028’i keşfedip tanımlarken, daha fazla zayıflık bulduk-sonuçta bugün tartışılan dört güvenlik açığı ile doruğa ulaştığımızda, birleştirildiğinde, en sevdiğiniz Pokémon gibi gelişmektedir… iki farklı preuthentication RCE zincirine dönüşüyorlar” dedi.
Dört güvenlik açıkına aşağıdaki Ortak Güvenlik Açığı ve Maruz Kalma (CVE) atamaları-Sayısal Sırayla-CVE-2025-57788, CVE-2025-57789, CVE-2025-57790 ve CVE-2015-57791 atanmıştır.
WatchTowr tarafından bulunan ilk saldırı zinciri, CVE-2025-57791’i CVE-2025-57790 ile birleştirir.
CVE-2025-57791, bir uzaktan saldırganın dahili bileşenlere aktarılan komut çizgisi argümanlarını enjekte etmesine veya manipüle etmesine izin veren bir argüman enjeksiyon güvenlik açığıdır-bu, yetersiz giriş validasyonu ve başarılı bir şekilde sömürülmesi nedeniyle ortaya çıkar, düşük privile edilmiş bir hesap için bir kullanıcı oturumu için geçerli bir Uygulama Programlama Arayüzü (API) jetonu oluşturur.
CVE-2025-57790, uzak bir saldırganın hedeflerinin dosya sistemlerine erişmesini ve Webroot’a bir Javaserver sayfası (JSP) webshell yazmasını sağlayan bir yol geçiş güvenlik açığıdır.
İkinci saldırı zinciri CVE-2025-57788 ve CVE-2025-57789’u CVE-2025-57790 ile birleştirir.
CVE-2025-57788, bilgi açıklama güvenlik açığı, giriş mekanizmasında, kimlik doğrulanmamış bir tarafın bir API çağrısı yürütmesine ve geçerli kimlik bilgilerini sızdırmasına izin veren bir sorundan kaynaklanır.
Şifreli bir yönetici parolası almak ve ciltli bir gelişmiş şifreleme standardı (AES) anahtarıyla şifresini çözmek için, ayrıcalık (EOP) güvenlik açığı artışı olan CVE-2025-57789, CommVault’a göre kurulum ve ilk yönetici oturum açma arasında son derece spesifik koşullarda kullanılabilir.
Oradan, bir saldırgan RCE koşullarına ulaşmak için dördüncü, yol geçiş güvenlik açığını tekrar kullanabilir.
İki zincirden ilki, herhangi bir Commvault örneği için geçerlidir, ancak WatchTowr, ancak ikincisinin mevcut olmak için çok sayıda belirli koşullara ihtiyaç duyduğu ve sömürülebilir hale gelmesi kabul ediliyor. Hiçbiri Hizmet Olarak Yazılım (SaaS) kullanıcıları için geçerli değildir.
Watchtowr, 15 Nisan’dan itibaren CommVault’a yönelik sorunları sundu ve her zamanki ileri ve öne sürerek, Commvault’un 19 Ağustos’ta resmi danışmanlığının yayınlanmasının ardından 20 Ağustos’ta tam kamu açıklaması yapılması planlandı.
Yamalar, 11.32.0 ila 11.32.101 sürümlerini ve Linux ve Windows ortamları için CommVault’un 11.36.0 ila 11.36.59 sürümlerini kapsar ve bunları sırasıyla 11.32.102 ve 11.36.60 sürümüne götürür. WatchTowr’ın ekibi ayrıca 11.38.20 ila 11.38.25 sürümlerinin 11.38.32’ye yamalandığını, ancak CommVault’un yazma sırasında danışma bildiriminde not edilmediğini belirtti.
WatchTowr’ın araştırmacıları, kavram kanıtı kodu kendileri yayınlamamışlardır, ancak motive edilmiş tehdit aktörleri muhtemelen kusurlara kısa sürede bakacaklar, bu nedenle şirket içi müşterilerin de sömürüye karşı korunmak için pratik olarak dört yamanın da uygulanması öneriliyor.
Bir Commvault sözcüsü: “Bu güvenlik açıklarını sorumlu bir şekilde ifşa ettiği için harici araştırmacı Watchtowr’a teşekkür ediyoruz. Yamalar derhal sunuldu ve müşteriler etkilenmedi. Kodumuzun sonraki sürümlerinde bu güvenlik açıkları yok.”