Commvault brengt patches uit voor kritieke beveiligingslekken
Commvault heeft met spoed patches uitgebracht om twee kritieke kwetsbaarheden te verhelpen in zijn back-upsoftware. De lekken, ontdekt door onderzoekers van watchTowr, maken ongeautoriseerde uitvoering van code op afstand (RCE) mogelijk.
Volgens de onderzoekers zijn de twee "bug chains" zeer gevaarlijk, waarbij één van de ketens werkt tegen alle niet-gepatchte instanties van de software. De kwetsbaarheden, die in april werden gemeld, leiden samen tot een ernstig beveiligingsrisico zo meldt The Register.
De eerste keten, bestaande uit twee bugs (CVE-2025-57791 en CVE-2025-57790), stelt aanvallers in staat om een lokaal beheerdersaccount te bemachtigen. De tweede keten, die afhankelijk is van specifieke omgevingscondities, maakt eveneens RCE mogelijk.
Het is zo erg als het klinkt. aldus de onderzoekers van watchTowr. Ze waarschuwen dat de combinatie van de lekken extreem gevaarlijk is en raden alle gebruikers aan om direct de beschikbare updates te installeren. De SaaS-oplossingen van Commvault zijn naar verluidt niet kwetsbaar voor deze aanvalsmethode.
