CVE-2025-34136

چکیده

یک آسیب‌پذیری ازنوع تزریق SQL در کامپوننت وب‌سرور نرم افزار Commvault CommServe شناسایی شده است. این آسیب پذیری به مهاجم بدون نیاز به احراز هویت امکان دستکاری پایگاه داده را می‌دهد.

توضیحات

این آسیب‌پذیری در کامپوننت وب‌سرور Commvault CommServe نسخه‌های 11.32.0 تا 11.32.93، 11.36.0 تا 11.36.51 و 11.38.0 تا 11.38.19 شناسایی شده است. این ضعف امنیتی به دلیل خنثی‌سازی نادرست المنت های ویژه در دستورات SQL (CWE-89) ایجاد شده و به مهاجم اجازه می دهد بدون نیاز به احراز هویت یا تعامل کاربر از راه دور دستورات SQL مخرب را تزریق کرده و به پایگاه داده دسترسی پیدا کند. این آسیب‌پذیری تنها سیستم‌هایی را تحت تأثیر قرار می‌دهد که نقش‌های CommServe و Web Server روی آن‌ها نصب شده باشد و سایر کامپوننت های Commvault در همان محیط آسیب‌پذیر نیستند. با وجود تأثیر محدود بر محرمانگی، یکپارچگی و دسترس‌پذیری، به دلیل سطح دسترسی پایین مورد نیاز و پیچیدگی کم حمله، ریسک بهره‌برداری بالا ارزیابی می‌شود. شرکت Commvault برای نسخه‌های آسیب‌پذیر پچ های امنیتی منتشر کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

به کاربران توصیه می‌شود در اسرع وقت به نسخه‌های پچ شده به روزرسانی کنند. در صورتی عدم امکان به‌روزرسانی، باید دسترسی Web Server و Command Center به شبکه خارجی محدود شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-34136
2. https://www.cvedetails.com/cve/CVE-2025-34136/
3. https://documentation.commvault.com/securityadvisories/CV_2025_04_2.html
4. https://www.vulncheck.com/advisories/commvault-commserve-web-server-unauth-sqli
5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-34136
6. https://vuldb.com/?id.317712
7. https://nvd.nist.gov/vuln/detail/CVE-2025-34136
8. https://cwe.mitre.org/data/definitions/89.html