CVE-2025-3928

Commvault Web Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-04-28

Официальное описание

Commvault Web Server contains an unspecified vulnerability that allows a remote, authenticated attacker to create and execute webshells.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-3928 представляет собой критическую брешь в компоненте Commvault Web Server. Аутентифицированный злоумышленник с минимальными привилегиями может обойти механизмы проверки загружаемых файлов или манипулировать путями записи данных. Это позволяет внедрить вредоносный скрипт (webshell) в директории веб-сервера, доступные для исполнения. Результатом эксплуатации является полный удаленный контроль над сервером (RCE) с правами учетной записи, под которой запущен сервис Commvault.

Как исправить

Основным способом устранения является установка актуального пакета обновлений (Maintenance Release), выпущенного вендором.

  1. Определите текущую версию Commvault через консоль управления (Command Center) или файл CVVersion.txt.
  2. Скачайте и установите соответствующий Hotfix или Maintenance Release (MR) для вашей ветки:
  3. Для версии v11.32: установите MR 11.32.112 или выше.
  4. Для версии v11.34: установите MR 11.34.75 или выше.

  5. Для версии v11.36: установите MR 11.36.48 или выше.

  6. Для автоматической установки обновлений на Web Server выполните команду через Command Line Interface (qoperation):

qoperation install_updates -client "Web_Server_Client_Name"
  1. Перезапустите службы Commvault для применения патчей:
gxadmin restart services

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать поверхность атаки:

  1. Ограничьте права на запись для учетной записи, под которой работает Web Server (обычно LocalSystem или сетевая служба), в директории, где разрешено выполнение скриптов (например, \WebConsole\scripts или \WebConsole\App_Data).

  2. Настройте аудит создания файлов в директориях веб-сервера с помощью PowerShell для мониторинга подозрительной активности:

New-Item -Path "C:\Program Files\Commvault\ContentStore\WebConsole" -ItemType Directory -Force

  1. Настройте правила Windows Defender или стороннего EDR для блокировки создания файлов с расширениями .asp, .aspx, .jsp, .php в подпапках Commvault Web Server.

  2. Ограничьте доступ к Web Console и Command Center, разрешив подключения только из доверенных сегментов сети (VPN/Management VLAN) с помощью брандмауэра:

New-NetFirewallRule -DisplayName "Restrict Commvault Web Access" -Direction Inbound -Action Block -RemoteAddress Any -LocalPort 80,443 -Protocol TCP

(После выполнения команды выше, создайте разрешающее правило только для доверенных IP).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей