Почему уязвимость Commvault вызвала тревогу у федеральных агентств США?

Критическая уязвимость в программном обеспечении Commvault Command Center была добавлена в каталог известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и безопасности инфраструктуры США (CISA) после подтверждения её активного использования злоумышленниками.
Почему уязвимость Commvault вызвала тревогу у федеральных агентств США?
Изображение носит иллюстративный характер

Идентифицированная как CVE-2025-34028, эта брешь безопасности получила максимально возможную оценку по шкале CVSS — 10.0, что указывает на чрезвычайную степень опасности. Уязвимость затрагивает версии Commvault Command Center 11.38 Innovation Release, начиная с 11.38.0 и заканчивая 11.38.19. Проблема была устранена в обновлениях 11.38.20 и 11.38.25.

Технически уязвимость представляет собой брешь типа "path traversal" (обход пути), которая позволяет удалённым неавторизованным атакующим выполнять произвольный код на целевых системах. Эксплуатация происходит через загрузку специально сформированных ZIP-архивов, которые при распаковке на сервере могут привести к удалённому выполнению кода. Конкретная проблема обнаружена в конечной точке "deployWebpackage.do", которая становится источником предаутентификационной уязвимости Server-Side Request Forgery (SSRF). Вектор атаки включает использование ZIP-архива, содержащего вредоносный.JSP файл.

Уязвимость была обнаружена и отображена исследовательской группой watchTowr Labs, специализирующейся на кибербезопасности. После подтверждения активной эксплуатации, CISA включила уязвимость в свой каталог KEV, хотя конкретные детали контекстов эксплуатации не были раскрыты публично.

Компания Commvault сообщила, что эксплуатация затронула небольшое количество клиентов, при этом отметив, что несанкционированного доступа к резервным данным клиентов зафиксировано не было.

Это не первая серьёзная уязвимость в продуктах Commvault. Ранее была выявлена брешь CVE-2025-3928 с оценкой CVSS 8.7, которая позволяла удалённым аутентифицированным атакующим создавать и выполнять веб-оболочки в веб-сервере Commvault. Эта уязвимость также эксплуатировалась в реальных атаках.

В ответ на угрозу CISA предписала всем федеральным гражданским исполнительным ведомствам (FCEB) применить необходимые исправления до 23 мая 2025 года, подчеркивая серьезность ситуации и необходимость оперативных мер по устранению уязвимости.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка