El especialista en copia de seguridad de datos y el especialista en replicación CommVault ha emitido parches que cubren cuatro vulnerabilidades en su producto de software central que, sin abordar, podrían combinarse para lograr dos cadenas de explotación de ejecución de código remoto (RCE). Los cuatro problemas fueron descubiertos por investigadores de vulnerabilidad de WatchToWr que estaban investigando el software de Commvault después de haberse encontrado con otro defecto de RCE, CVE-2025-34028, a principios de este año. «Al igual que nuestras amigables pandillas de ransomware del vecindario y grupos aptos, hemos seguido pasando cantidades irracionales de tiempo observando soluciones críticas de grado empresarial, las que creemos que están hechas de la muy buena cadena», dijeron los investigadores en su aviso de divulgación. «[And] Como hemos visto a lo largo de la historia … Las soluciones de respaldo y replicación representan un objetivo de alto valor para los actores de amenazas. «Al descubrir e identificar CVE-2025-34028 que hemos discutido antes, … encontramos más debilidades, que finalmente culminó en cuatro vulnerabilidades más discutidas hoy en día que, cuando se combinamos, evolucionamos como sus Pokémon favoritos … en dos distintas cadenas de RCE de preautenticación», dijeron. A las cuatro vulnerabilidades se les ha asignado las siguientes designaciones comunes de vulnerabilidad y exposición (CVE), en orden numérico: CVE-2025-57788, CVE-2025-57789, CVE-2025-57790 y CVE-2025-57791 respectivamente. La primera cadena de ataque encontrada por WatchTowr se une a CVE-2025-57791, con CVE-2025-57790. CVE-2025-57791 es una vulnerabilidad de inyección de argumentos que permite a un atacante remoto inyectar o manipular argumentos de línea de comandos pasados a componentes internos: esto surge debido a la validación de entrada insuficiente y explotado con éxito, crea una token válida de interfaz de programación de aplicaciones (API) para una sesión de usuario para una cuenta de baja privil. CVE-2025-57790 es una vulnerabilidad transversal de ruta que permite que un atacante remoto acceda a los sistemas de archivos de su objetivo y escriba una webshell de Javaserver Pages (JSP) en Webroot, logrando así RCE. La segunda cadena de ataque combina CVE-2025-57788 y CVE-2025-57789 con CVE-2025-57790. CVE-2025-57788 es una vulnerabilidad de divulgación de información proviene de un problema en el mecanismo de inicio de sesión que permite a una parte no autenticada ejecutar una llamada API y filtrar credenciales válidas. CVE-2025-57789, una elevación de la vulnerabilidad de privilegios (EOP), puede usarse en circunstancias altamente específicas, entre la instalación y el primer inicio de sesión de administrador, según CommVault, para recuperar una contraseña de administrador cifrada y descifrarla con una tecla de estándar de cifrado avanzado (AEES) avanzado (ASE). A partir de ahí, un atacante puede volver a usar la cuarta vulnerabilidad de traversal de ruta para lograr las condiciones de RCE. La primera de las dos cadenas es aplicable a cualquier instancia de Commvault sin parpadeo, dijo WatchToWr, pero se reconoce que la segunda necesita un conjunto de condiciones específicas para estar presentes y cumplir para ser explotables. Ninguno de ellos es aplicable a los usuarios de software como servicio (SaaS). WatchToWr presentó los problemas a Commvault a partir del 15 de abril, y luego de la habitual divulgación pública se programó para el 20 de agosto después de la publicación del asesor oficial de Commvault el 19 de agosto. Los parches cubren las versiones 11.32.0 a 11.32.101, y las versiones 11.36.0 a 11.36.59 de CommVault para entornos de Linux y Windows, y las llevan a la versión 11.32.102 y 11.36.60 respectivamente. El equipo de WatchTowr también ha declarado que las versiones 11.38.20 a 11.38.25 han sido reparadas a 11.38.32, aunque esto no se observa en el aviso de asesoramiento de Commvault al momento de escribir. Los investigadores de WatchToWr no han publicado el código de prueba de concepto en sí mismos, pero los actores de amenaza motivados probablemente analizarán los defectos en poco tiempo, por lo que se aconseja a los clientes locales que apliquen los cuatro parches tan pronto como sea práctico para salvaguardar contra la explotación. Un portavoz de CommVault dijo: «Agradecemos al investigador externo WatchToWr por revelar de manera responsable estas vulnerabilidades. Los parches se pusieron a disposición rápidamente y los clientes no se vieron afectados. Las versiones posteriores de nuestro código no tienen estas vulnerabilidades».