米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Commvault Command Centerに影響を与える最大深刻度のセキュリティ欠陥を、公開されてから1週間余りで既知の悪用された脆弱性(KEV)カタログに追加しました。
問題の脆弱性はCVE-2025-34028(CVSSスコア:10.0)で、バージョン11.38.0から11.38.19までの11.38イノベーションリリースに影響を与えるパストラバーサルバグです。バージョン11.38.20および11.38.25で対処されています。
「Commvault Command Centerには、リモートの認証されていない攻撃者が任意のコードを実行できるパストラバーサルの脆弱性があります」とCISAは述べています。
この欠陥は、攻撃者がZIPファイルをアップロードすることを可能にし、ターゲットサーバーで解凍されるとリモートコード実行が発生する可能性があります。
サイバーセキュリティ企業のwatchTowr Labsは、このバグを発見し報告したとしてクレジットされており、問題は「deployWebpackage.do」と呼ばれるエンドポイントに存在し、事前認証されたサーバーサイドリクエストフォージェリ(SSRF)を引き起こし、最終的に悪意のある.JSPファイルを含むZIPアーカイブファイルを使用することでコード実行を引き起こすと述べています。
この脆弱性がどのような文脈で悪用されているかは現在不明ですが、この展開により、CVE-2025-3928(CVSSスコア:8.7)に続いて、実世界の攻撃で武器化された2番目のCommvaultの欠陥となりました。これは、リモートの認証された攻撃者がウェブシェルを作成し実行できるCommvault Web Serverの未特定の問題です。
同社は先週、悪用活動が少数の顧客に影響を与えたことを明らかにしましたが、顧客のバックアップデータへの不正アクセスはなかったと述べています。
CVE-2025-34028のアクティブな悪用を受けて、連邦市民行政機関(FCEB)は、ネットワークを保護するために2025年5月23日までに必要なパッチを適用する必要があります。
翻訳元: https://thehackernews.com/2025/05/commvault-cve-2025-34028-added-to-cisa.html