Commvault揭露備份軟體遠端執行程式碼重大漏洞，須盡速修補

老牌備份與資料保護軟體廠商Commvault，於8月19日揭露影響備份軟體平臺的4項漏洞，並釋出修補。

這4項漏洞是由watchTowr安全研究人員於今年4月發現與通報，存在於11.32.0到11.32.101版，與11.36.0到11.36.59版以前的Commvault軟體平臺中。但Commvault官方的安全建議通報只提供這4個漏洞的內部編號，而未提供CVE漏洞編號資訊，不過The Hacker News等資安新聞網站確認了這4個漏洞的CVE編號。

其中最嚴重的漏洞，是編號為CVE-2025-57790的漏洞（Commvault安全建議編號CV_2025_08_2），為CVSS嚴重性等級評分8.7的重大漏洞，會導致遠端攻擊者透過軟體中的路徑遍歷問題，在未授權下存取檔案系統，進而從遠端執行程式碼

至於這次修補的另3個漏洞CVE-2025-57788、CVE-2025-57789與CVE-2025-57791（Commvault安全建議編號為CV_2025_08_3、CV_2025_08_4與CV_2025_08_1），CVSS嚴重性等級評分為6.9、5.3與6.9，分別會導致未授權攻擊者利用登入漏洞在無驗證情形下執行API呼叫，攻擊者利用系統安裝與管理者首次登入間的短暫間隙，利用預設憑證取得管理者權限，以及遠端攻擊者注入或操縱傳遞給內部元件的命令列，從而讓低權限角色獲得有效的使用者會話（user session）。

這4個漏洞的解決方法，都是將Commvault平臺升級到11.32.102版與11.36.60版。Commvault的SaaS服務則不受前述漏洞影響。