Podatność w Commvault Command Center Innovation Release umożliwia nieuwierzytelnionemu atakującemu przesłanie złośliwego archiwum ZIP, które po rozpakowaniu przez serwer prowadzi do Remote Code Execution za pośrednictwem złośliwego pliku JSP. Luka jest aktywnie wykorzystywana przez atakujących i figuruje w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
The Commvault Command Center Innovation Release allows an unauthenticated actor to upload ZIP files that represent install packages that, when expanded by the target server, are vulnerable to path traversal vulnerability that can result in Remote Code Execution via malicious JSP. This issue affects Command Center Innovation Release: 11.38.0 to 11.38.20. The vulnerability is fixed in 11.38.20 with SP38-CU20-433 and SP38-CU20-436 and also fixed in 11.38.25 with SP38-CU25-434 and SP38-CU25-438.
Atakujący bez żadnego uwierzytelnienia (CWE-306) przesyła spreparowane archiwum ZIP udające pakiet instalacyjny. Podczas rozpakowywania serwer nie waliduje poprawnie ścieżek zawartych w archiwum (CWE-22 – path traversal), co pozwala na zapisanie pliku JSP w dowolnej lokalizacji dostępnej dla serwera aplikacyjnego. Umieszczony w ten sposób złośliwy plik JSP jest następnie wykonywany przez serwer, co skutkuje pełnym Remote Code Execution w kontekście procesu serwera.
Atakujący uzyskuje możliwość wykonania dowolnego kodu na serwerze bez jakiegokolwiek uwierzytelnienia, co w praktyce oznacza pełne przejęcie kontroli nad systemem, w tym możliwość naruszenia integralności i dostępności danych zarządzanych przez Commvault.
Należy zaktualizować Commvault Command Center do wersji zawierającej jeden z następujących pakietów poprawek: SP38-CU20-433 lub SP38-CU20-436 (dla linii 11.38.20) albo SP38-CU25-434 lub SP38-CU25-438 (dla linii 11.38.25). Szczegółowe instrukcje dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach (CV_2025_04_1).
Commvault Command Center Innovation Release w wersjach od 11.38.0 do 11.38.20 oraz 11.38.25 (przed zastosowaniem odpowiednich łatek); produkty działające na Microsoft Windows oraz Linux.
Publicznie dostępny kod proof-of-concept exploit został opublikowany przez watchTowr Labs w repozytorium GitHub (watchtowrlabs/watchTowr-vs-Commvault-PreAuth-RCE-CVE-2025-34028) wraz z towarzyszącym artykułem technicznym. Podatność jest wpisana do katalogu CISA Known Exploited Vulnerabilities.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:L/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XCommvault
APPCommvault11.38.0 – 11.38.20 (bez)Linux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
CISA KEV — szczegółyi
- Dostawcai
- Commvault
- Produkti
- Command Center
- Data dodania do KEVi
- 2 maja 2025
- Termin remediation (USA)i
- 23 maja 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Commvault Command Center zawiera lukę path traversal, która pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu.
▸ Pokaż oryginał (EN)
Commvault Command Center contains a path traversal vulnerability that allows a remote, unauthenticated attacker to execute arbitrary code.
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit
IBM Aspera Faspex 4.4.2 Patch Level 1 and earlier could allow a remote attacker to execute arbitrary code on t...