Impatto Sistemico

Alto (73.07)

Sintesi

È stato recentemente rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-34028 con gravità “critica” – già sanata dal vendor ad aprile 2025 – per il prodotto Commvault Command Center, interfaccia web centralizzata progettata per semplificare la gestione della protezione dei dati all’interno di un’organizzazione.

Note : un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

È stato recentemente rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-34028 – già sanata dal vendor ad aprile 2025 – per il prodotto Commvault Command Center, interfaccia web centralizzata progettata per semplificare la gestione della protezione dei dati all’interno di un’organizzazione.

Tale vulnerabilità – di tipo “ Path Traversal ” e con score CVSS v3.1 pari a 10 – potrebbe consentire, a un utente malintenzionato remoto, l’esecuzione di codice arbitrario sul sistema interessato. In particolare, un problema nell’endpoint deployWebpackage.do , permette attacchi di tipo “ pre-authenticated Server-Side Request Forgery (SSRF) ” a causa di regole di filtraggio non efficaci. Tale criticità potrebbe comportare l’esecuzione di codice malevolo tramite la sottomissione di archivi ZIP malevoli contenenti file .JSP opportunamente predisposti.

Prodotti e versioni affette

Commvault 11.38.x, versione 11.38.19 e precedenti

Azioni di Mitigazione

Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili, per i quali è stata rilasciata una patch, seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.