数据备份和复制专家Commvault已发布补丁,修复其核心软件产品中的四个漏洞。如果不加以解决,这些漏洞可能被组合利用,形成两条不同的远程代码执行(RCE)攻击链。
这四个漏洞由WatchTowr漏洞研究人员发现。他们在今年早些时候发现另一个RCE漏洞CVE-2025-34028后,继续对Commvault软件进行深入研究。
"就像我们友好的邻居勒索软件团伙和APT组织一样,我们继续花费大量时间研究关键的企业级解决方案——那些我们认为由真正优质材料制成的产品,"研究人员在披露声明中表示。"正如我们在历史上所见,备份和复制解决方案代表着威胁行为者的高价值目标。"
"在发现和识别我们之前讨论过的CVE-2025-34028时,我们发现了进一步的弱点——最终发现了今天讨论的四个漏洞,当它们组合在一起时,就像你最喜欢的宝可梦一样进化为两条不同的预认证RCE攻击链,"他们说。
这四个漏洞已被分配以下通用漏洞暴露(CVE)编号:CVE-2025-57788、CVE-2025-57789、CVE-2025-57790和CVE-2025-57791。
WatchTowr发现的第一条攻击链将CVE-2025-57791与CVE-2025-57790结合使用。
CVE-2025-57791是一个参数注入漏洞,允许远程攻击者注入或操纵传递给内部组件的命令行参数。这是由于输入验证不足造成的,成功利用后,可为低权限账户的用户会话创建有效的应用程序接口(API)令牌。
CVE-2025-57790是一个路径遍历漏洞,使远程攻击者能够访问目标文件系统并将JavaServer Pages(JSP) webshell写入webroot,从而实现RCE。
第二条攻击链将CVE-2025-57788和CVE-2025-57789与CVE-2025-57790结合使用。
CVE-2025-57788是一个信息泄露漏洞,源于登录机制中的问题,允许未经身份验证的一方执行API调用并泄露有效凭据。
CVE-2025-57789是一个权限提升(EoP)漏洞,根据Commvault的说法,在非常特定的情况下——在安装和首次管理员登录之间——可用于检索加密的管理员密码并使用硬编码的高级加密标准(AES)密钥解密。
从那里,攻击者可以再次使用第四个路径遍历漏洞来实现RCE条件。
WatchTowr表示,第一条攻击链适用于任何未打补丁的Commvault实例,但第二条攻击链需要满足非常特定的条件才能被利用。这些漏洞都不适用于软件即服务(SaaS)用户。
WatchTowr从4月15日开始向Commvault报告这些问题,经过常规的来回沟通后,在Commvault于8月19日发布官方公告后,完整的公开披露计划于8月20日进行。
补丁涵盖Linux和Windows环境下的Commvault版本11.32.0至11.32.101和版本11.36.0至11.36.59,分别将其更新至版本11.32.102和11.36.60。WatchTowr团队还表示,版本11.38.20至11.38.25已打补丁至11.38.32,尽管在撰写本文时Commvault的公告中未提及此事。
WatchTowr的研究人员没有发布概念验证代码,但有动机的威胁行为者可能很快就会研究这些漏洞,因此建议本地部署客户尽快应用所有四个补丁以防止被利用。
Commvault发言人表示:"我们感谢外部研究人员WatchTowr负责任地披露这些漏洞。补丁已及时提供,客户未受到影响。我们代码的后续版本没有这些漏洞。"
Q&A
Q1:Commvault这次修复的漏洞有多严重?
A:这次修复的四个漏洞可以组合成两条不同的远程代码执行攻击链,威胁程度很高。第一条攻击链适用于任何未打补丁的Commvault实例,第二条需要特定条件。攻击者可以通过这些漏洞获得系统控制权,但不影响SaaS用户。
Q2:哪些Commvault版本需要更新补丁?
A:需要更新的版本包括Linux和Windows环境下的11.32.0至11.32.101版本(更新至11.32.102)和11.36.0至11.36.59版本(更新至11.36.60)。另外,11.38.20至11.38.25版本已更新至11.38.32。
Q3:这些漏洞是如何被发现的?
A:这些漏洞由WatchTowr安全研究团队发现。他们在今年早些时候发现CVE-2025-34028漏洞后,继续深入研究Commvault软件,最终发现了四个新漏洞,并将研究结果于4月15日报告给Commvault。
好文章,需要你的鼓励
Queen's大学研究团队提出结构化智能体软件工程框架SASE,重新定义人机协作模式。该框架将程序员角色从代码编写者转变为AI团队指挥者,建立双向咨询机制和标准化文档系统,解决AI编程中的质量控制难题,为软件工程向智能化协作时代转型提供系统性解决方案。
苹果在iOS 26公开发布两周后推出首个修复更新iOS 26.0.1,建议所有用户安装。由于重大版本发布通常伴随漏洞,许多用户此前选择安装iOS 18.7。尽管iOS 26经过数月测试,但更大用户基数能发现更多问题。新版本与iPhone 17等新机型同期发布,测试范围此前受限。预计苹果将继续发布后续修复版本。
西北工业大学与中山大学合作开发了首个超声专用AI视觉语言模型EchoVLM,通过收集15家医院20万病例和147万超声图像,采用专家混合架构,实现了比通用AI模型准确率提升10分以上的突破。该系统能自动生成超声报告、进行诊断分析和回答专业问题,为医生提供智能辅助,推动医疗AI向专业化发展。