Die Backup-Lösung Commvault steht aktuell im Fokus der IT-Sicherheitswelt – und das nicht ohne Grund. Gleich vier neu entdeckte Schwachstellen, darunter zwei besonders kritische, machen deutlich, wie wichtig ein proaktives Patch-Management ist. Wer Commvault in seiner Infrastruktur einsetzt, sollte jetzt handeln.
Was ist passiert?
Sicherheitsforscher von watchTowr Labs haben zwei sogenannte „Bug Chains“ identifiziert, die in Kombination eine Remote Code Execution (RCE) ermöglichen – und das sogar ohne vorherige Authentifizierung.
Besonders brisant: Die Schwachstellen betreffen sowohl Linux- als auch Windows-Installationen bis einschließlich Version 11.32.101 & 11.36.59.
Die Schwachstellen im Detail
Path Traversal mit hohem Risiko (CVE-2025-57790)
Diese Lücke erlaubt es Angreifern, über manipulierte Pfadangaben Dateien außerhalb des vorgesehenen Verzeichnisses zu schreiben – etwa eine Webshell direkt ins Webroot.
Der CVSS-Score liegt bei 8.7, Risiko „hoch„.
Angreifer benötigen dazu aber zumindest minimale Rechte im System.
Argument Injection in QCommands (CVE-2025-57791)
Durch manipulierte Parameter in API-Requests können Angreifer sich einen gültigen Token für einen lokalen Admin generieren – ohne Passwort. CVSS 6.9, Risiko „mittel„.
In Kombination mit CVE-2025-57790 wird daraus ein mächtiger Exploit.
API-Zugriff ohne Authentifizierung (CVE-2025-57788)
Ein speziell formatierter Request erlaubt es, sensible Informationen wie Tokens oder Passwörter eines Low-Privilege-Accounts zu extrahieren.
Zwar soll RBAC die Auswirkungen begrenzen, ein vollständiger Schutz ist das jedoch nicht.
CVSS 6.9, Risiko „mittel„.
Standard-Zugangsdaten als Einfallstor (CVE-2025-57789)
Direkt nach der Installation sind Standard-Logins aktiv. Wird das Passwort nicht sofort geändert, können Angreifer diese nutzen, um sich Zugang zu verschaffen. Zwar ist die Lücke nur kurzzeitig offen, aber dennoch kritisch. CVSS 5.3, Risiko „mittel„.
Was sollten Admins jetzt tun?
Commvault hat mit den Versionen 11.32.102 sowie 11.36.60 und neuer reagiert und entsprechende Patches bereitgestellt.
Wer noch ältere Versionen betreibt, sollte aktualisieren. Besonders gefährdet sind Systeme, die öffentlich erreichbar sind.
Die SaaS Plattform (Commvault Cloud SaaS) hat der Hersteller bereits gepatcht, hier müssen Admins nicht weiter aktiv werden.
Herstellerseiten:
https://documentation.commvault.com/securityadvisories/CV_2025_08_1.html
https://documentation.commvault.com/securityadvisories/CV_2025_08_2.html
https://documentation.commvault.com/securityadvisories/CV_2025_08_3.html
https://documentation.commvault.com/securityadvisories/CV_2025_08_4.html