-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Commvault Advisory ID : NCSC-2025-0265 Versie : 1.00 Kans : medium CVE ID : CVE-2025-57788, CVE-2025-57790, CVE-2025-57791 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') Use of Hard-coded Password Absolute Path Traversal Uitgiftedatum : 20250820 Toepassing : Commvault CommCell Versie(s) : Platform(s) : Beschrijving Commvault heeft kwetsbaarheden verholpen in Commvault componenten als CommCell en ComServe versies voor 11.36.60. De kwetsbaarheden bevinden zich in versies van Commvault vóór 11.36.60. De eerste kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om API-aanroepen uit te voeren via een bekend inlogmechanisme, wat kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens of functionaliteiten binnen de Commvault-omgeving. De tweede kwetsbaarheid betreft een pad-traversal probleem dat door externe aanvallers kan worden misbruikt, wat kan leiden tot ongeautoriseerde toegang tot het bestandssysteem en mogelijk tot remote code execution. De derde kwetsbaarheid is het gevolg van onvoldoende invoervalidatie, waardoor aanvallers commandoregelargumenten kunnen manipuleren, wat hen mogelijk toegang kan geven tot een geldige gebruikerssessie met lage privileges. Deze kwetsbaarheden verhogen het risico op datacompromittatie en schendingen van de systeemintegriteit. Mogelijke oplossingen Commvault heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://documentation.commvault.com/securityadvisories/CV_2025_08_ 1.html Reference https://documentation.commvault.com/securityadvisories/CV_2025_08_ 2.html Reference https://documentation.commvault.com/securityadvisories/CV_2025_08_ 3.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmilvHgACgkQytTOqyR+ cF+/hgv/Q7YnuwC1Fdd9eSke7qBRW5NDrx908bVAqCelyCd6Fc1wQZAhSA7wb+ba iyPwgiMTCnAmKhc/ttckMPyZ3thgknEqQNqDhsdjEUEFq0qCVjEm6gzrwIWSSy4x h0sZcNAiWIvTVr0kBgHPM6xj3qBy7XQ5o3WgIs8loDlfdUgAJ3QJ/NUqxYnM2wLY o9PCdEg3kGNnON7YX04vffOIRSN8D09SXmH/Pi9IESZNKeobMYw1fn/RImhv1xq1 zxJEZ0W5Do+bylTQxL+XZVc+39FWHt1/bI2wsx69nw1K9+s5ICMc3GO84CTok/lj Dnx9qmS2l7A83Pi2HEZh2fN1BgZ1zO+C4Rb0qIpYFF6W0yeRXl1paHRnhaHwusX5 LO6H4oumO1C3huPpuZM4uB5+daesDhLwtWFTIcj70uKrKcnUFSLKJ0nFdHMzkzE8 +d0pC9fhfplfFP2EXjN1bSCJnN1gQycjXtJHo6xc7poAeSQolXpVzLMMfAQElrFj qbobzd3/ =Wta/ -----END PGP SIGNATURE-----