CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-34028

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVSS 9.3v4.0pub. 2025-04-22upd. 2025-11-06

Podatność w Commvault Command Center Innovation Release umożliwia nieuwierzytelnionemu atakującemu przesłanie złośliwego archiwum ZIP, które po rozpakowaniu przez serwer prowadzi do Remote Code Execution za pośrednictwem złośliwego pliku JSP. Luka jest aktywnie wykorzystywana przez atakujących i figuruje w katalogu CISA KEV.

Pokaż oryginał (EN)

The Commvault Command Center Innovation Release allows an unauthenticated actor to upload ZIP files that represent install packages that, when expanded by the target server, are vulnerable to path traversal vulnerability that can result in Remote Code Execution via malicious JSP. This issue affects Command Center Innovation Release: 11.38.0 to 11.38.20. The vulnerability is fixed in 11.38.20 with SP38-CU20-433 and SP38-CU20-436 and also fixed in 11.38.25 with SP38-CU25-434 and SP38-CU25-438.

🤖 Analiza AI
Jak działa

Atakujący bez żadnego uwierzytelnienia (CWE-306) przesyła spreparowane archiwum ZIP udające pakiet instalacyjny. Podczas rozpakowywania serwer nie waliduje poprawnie ścieżek zawartych w archiwum (CWE-22 – path traversal), co pozwala na zapisanie pliku JSP w dowolnej lokalizacji dostępnej dla serwera aplikacyjnego. Umieszczony w ten sposób złośliwy plik JSP jest następnie wykonywany przez serwer, co skutkuje pełnym Remote Code Execution w kontekście procesu serwera.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnego kodu na serwerze bez jakiegokolwiek uwierzytelnienia, co w praktyce oznacza pełne przejęcie kontroli nad systemem, w tym możliwość naruszenia integralności i dostępności danych zarządzanych przez Commvault.

Mitygacja

Należy zaktualizować Commvault Command Center do wersji zawierającej jeden z następujących pakietów poprawek: SP38-CU20-433 lub SP38-CU20-436 (dla linii 11.38.20) albo SP38-CU25-434 lub SP38-CU25-438 (dla linii 11.38.25). Szczegółowe instrukcje dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach (CV_2025_04_1).

Kogo dotyczy

Commvault Command Center Innovation Release w wersjach od 11.38.0 do 11.38.20 oraz 11.38.25 (przed zastosowaniem odpowiednich łatek); produkty działające na Microsoft Windows oraz Linux.

Uwagi

Publicznie dostępny kod proof-of-concept exploit został opublikowany przez watchTowr Labs w repozytorium GitHub (watchtowrlabs/watchTowr-vs-Commvault-PreAuth-RCE-CVE-2025-34028) wraz z towarzyszącym artykułem technicznym. Podatność jest wpisana do katalogu CISA Known Exploited Vulnerabilities.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:L/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Commvault

    APP
    Commvault
    11.38.0 – 11.38.20 (bez)
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje

CISA KEV — szczegółyi

Dostawcai
Commvault
Produkti
Command Center
Data dodania do KEVi
2 maja 2025
Termin remediation (USA)i
23 maja 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Commvault Command Center zawiera lukę path traversal, która pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu.

tłumaczenie AI
Pokaż oryginał (EN)

Commvault Command Center contains a path traversal vulnerability that allows a remote, unauthenticated attacker to execute arbitrary code.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 23 maja 2025
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit

CVE-2022-47986CRITICAL9.8⚠ KEVten sam produkt

IBM Aspera Faspex 4.4.2 Patch Level 1 and earlier could allow a remote attacker to execute arbitrary code on t...