Krytyczna podatność w Commvault Command Center – CVE-2025-34028
CSIRT CeZ informuje o podatności o najwyższym możliwym poziomie zagrożenia – 10 w skali CVSS w oprogramowaniu Commvault Command Center. Podatność pozwala atakującemu przesłać spreparowany plik ZIP, który po rozpakowaniu przez serwer może uruchomić niebezpieczny kod bez potrzeby logowania się do systemu.
Czym jest Commvault Command Center
Commvault Command Center to rozwiązanie służące jako centralny punkt zarządzania dla administratorów IT.
Jak działa podatność
Podatność CVE-2025-34028 umożliwia nieuwierzytelnionemu atakującemu przesłanie spreparowanego pliku ZIP, który po rozpakowaniu przez serwer docelowy może doprowadzić do zdalnego wykonania dowolnego kodu. Skutkiem udanego ataku może być całkowite przejęcie kontroli nad systemem, naruszenie poufności danych, ich integralności oraz dostępności.
Szczegóły podatności
- CVE ID: CVE-2025-34028
- CVSS Score: 10.0 (Critical)
- Wektor ataku: Sieć (AV:N)
- Złożoność ataku: Niska (AC:L)
- Uprawnienia: Nie wymagane (PR:N)
- Interakcja użytkownika: Nie wymagana (UI:N)
- Zakres: Zmieniony (S:C)
- Wpływ na poufność: Niski (C:L)
- Wpływ na integralność: Wysoki (I:H)
- Wpływ na dostępność: Wysoki (A:H)
Podatne systemy
Commvault Command Center w wersjach Innovation Release od 11.38.0 do 11.38.19.
Działania zapobiegawcze
Administratorom zaleca się niezwłoczne zaktualizowanie oprogramowania Commvault Command Center do wersji 11.38.20 lub nowszej, w której błąd został poprawiony.
Więcej informacji
Szczegółowy opis podatności jest dostępny na stronie National Vulnerability Database (NVD).