CVE-2021-34996

Commvault CommCell, versão 11.22.22

A vulnerabilidade está relacionada a um gerenciamento incorreto da geração de código no processo Demo ExecuteProcessOnGroup do software de gerenciamento de armazenamento CommCell. A exploração desse problema pode permitir que um invasor remoto execute código arbitrário enviando uma solicitação especialmente criada. Embora seja necessária autenticação para explorar esse problema, o mecanismo de autenticação existente pode ser contornado. A falha existe no fluxo de trabalho Demo ExecuteProcessOnGroup, permitindo que um invasor especifique um comando arbitrário a ser executado, potencialmente executando código no contexto do SYSTEM.

Para a versão 11.22.22 do Commvault CommCell, considere desativar o fluxo de trabalho Demo ExecuteProcessOnGroup como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao fluxo de trabalho para minimizar o risco de exploração. Evite usar o fluxo de trabalho para executar comandos arbitrários até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.