Уязвимость BDU:2025-05617

Идентификатор: BDU:2025-05617.
Наименование уязвимости: Уязвимость платформы резервного копирования и восстановления данных CommVault, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость платформы резервного копирования и восстановления данных CommVault связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Средство защиты, Программное средство защиты Commvault Systems Inc. CommVault от 11.38.0 до 11.38.20 |
Наименование ОС и тип аппаратной платформы: Linux — | Windows — |
Дата выявления: 11.04.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,7)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)
Возможные меры по устранению:
Использование рекомендаций:
https://documentation.commvault.com/securityadvisories/CV_2025_04_1.html.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-34028.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://documentation.commvault.com/securityadvisories/CV_2025_04_1.html
https://github.com/watchtowrlabs/watchTowr-vs-Commvault-PreAuth-RCE-CVE-2025-34028
https://labs.watchtowr.com/fire-in-the-hole-were-breaching-the-vault-commvault-remote-code-execution-cve-2025-34028/
https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv



