Критическая уязвимость в программном обеспечении Commvault Command Center была добавлена в каталог известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и безопасности инфраструктуры США (CISA) после подтверждения её активного использования злоумышленниками.

Идентифицированная как CVE-2025-34028, эта брешь безопасности получила максимально возможную оценку по шкале CVSS — 10.0, что указывает на чрезвычайную степень опасности. Уязвимость затрагивает версии Commvault Command Center 11.38 Innovation Release, начиная с 11.38.0 и заканчивая 11.38.19. Проблема была устранена в обновлениях 11.38.20 и 11.38.25.
Технически уязвимость представляет собой брешь типа "path traversal" (обход пути), которая позволяет удалённым неавторизованным атакующим выполнять произвольный код на целевых системах. Эксплуатация происходит через загрузку специально сформированных ZIP-архивов, которые при распаковке на сервере могут привести к удалённому выполнению кода. Конкретная проблема обнаружена в конечной точке "deployWebpackage.do", которая становится источником предаутентификационной уязвимости Server-Side Request Forgery (SSRF). Вектор атаки включает использование ZIP-архива, содержащего вредоносный.JSP файл.
Уязвимость была обнаружена и отображена исследовательской группой watchTowr Labs, специализирующейся на кибербезопасности. После подтверждения активной эксплуатации, CISA включила уязвимость в свой каталог KEV, хотя конкретные детали контекстов эксплуатации не были раскрыты публично.
Компания Commvault сообщила, что эксплуатация затронула небольшое количество клиентов, при этом отметив, что несанкционированного доступа к резервным данным клиентов зафиксировано не было.
Это не первая серьёзная уязвимость в продуктах Commvault. Ранее была выявлена брешь CVE-2025-3928 с оценкой CVSS 8.7, которая позволяла удалённым аутентифицированным атакующим создавать и выполнять веб-оболочки в веб-сервере Commvault. Эта уязвимость также эксплуатировалась в реальных атаках.
В ответ на угрозу CISA предписала всем федеральным гражданским исполнительным ведомствам (FCEB) применить необходимые исправления до 23 мая 2025 года, подчеркивая серьезность ситуации и необходимость оперативных мер по устранению уязвимости.

Изображение носит иллюстративный характер
Идентифицированная как CVE-2025-34028, эта брешь безопасности получила максимально возможную оценку по шкале CVSS — 10.0, что указывает на чрезвычайную степень опасности. Уязвимость затрагивает версии Commvault Command Center 11.38 Innovation Release, начиная с 11.38.0 и заканчивая 11.38.19. Проблема была устранена в обновлениях 11.38.20 и 11.38.25.
Технически уязвимость представляет собой брешь типа "path traversal" (обход пути), которая позволяет удалённым неавторизованным атакующим выполнять произвольный код на целевых системах. Эксплуатация происходит через загрузку специально сформированных ZIP-архивов, которые при распаковке на сервере могут привести к удалённому выполнению кода. Конкретная проблема обнаружена в конечной точке "deployWebpackage.do", которая становится источником предаутентификационной уязвимости Server-Side Request Forgery (SSRF). Вектор атаки включает использование ZIP-архива, содержащего вредоносный.JSP файл.
Уязвимость была обнаружена и отображена исследовательской группой watchTowr Labs, специализирующейся на кибербезопасности. После подтверждения активной эксплуатации, CISA включила уязвимость в свой каталог KEV, хотя конкретные детали контекстов эксплуатации не были раскрыты публично.
Компания Commvault сообщила, что эксплуатация затронула небольшое количество клиентов, при этом отметив, что несанкционированного доступа к резервным данным клиентов зафиксировано не было.
Это не первая серьёзная уязвимость в продуктах Commvault. Ранее была выявлена брешь CVE-2025-3928 с оценкой CVSS 8.7, которая позволяла удалённым аутентифицированным атакующим создавать и выполнять веб-оболочки в веб-сервере Commvault. Эта уязвимость также эксплуатировалась в реальных атаках.
В ответ на угрозу CISA предписала всем федеральным гражданским исполнительным ведомствам (FCEB) применить необходимые исправления до 23 мая 2025 года, подчеркивая серьезность ситуации и необходимость оперативных мер по устранению уязвимости.