Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Commvault

Fecha de publicación 29/04/2025
Identificador
INCIBE-2025-0209
Importancia
5 - Crítica
Recursos Afectados

Según la vulnerabilidad los productos afectados difieren aunque, en ambos casos, afecta tanto si el producto está instalado en sistemas Windows como Linux:

  • Para la vulnerabilidad crítica CVE-2025-34028:
    • Commvault Command Center, Innovation Release, versiones desde 11.38.0 hasta 11.38.19.
  • Para la vulnerabilidad alta CVE-2025-3928:
    • Commvault, maintenance release, versiones desde 11.36.0 hasta 11.36.45;
    • Commvault, maintenance release, versiones desde 11.32.0 hasta 11.32.88;
    • Commvault, maintenance release, versiones desde 11.28.0 hasta 11.28.140;
    • Commvault, maintenance release, versiones desde 11.20.0 hasta 11.20.216.
Descripción

Commvault tiene dos vulnerabilidades, una de ellas de severidad crítica descubierta por Sonny MacDonald de watchTowr, y la otra de severidad alta. Estas vulnerabilidades pueden permitir la ejecución remota de código sin autenticación y crear y ejecutar webshells.

Solución

Actualizar el producto a su versión no vulnerable:

  • Commvault Command Center Installation, Innovation Release, versiones 11.38.20 y 11.38.25;
  • Commvault, maintenance release, 11.36.46;
  • Commvault, maintenance release, 11.32.89;
  • Commvault, maintenance release, 11.28.141;
  • Commvault, maintenance release, 11.20.217.
Detalle

Las vulnerabilidades son:

  • CVE-2025-34028: de severidad crítica, vulnerabilidad de salto de directorio, permite a un atacante no autenticado subir ficheros ZIP maliciosos que cuando se descomprimen en el servidor víctima permiten realizar una ejecución remota de código (RCE). La vulnerabilidad no afecta a otras instalaciones del mismo sistema.
  • CVE-2025-3928: de severidad alta, los atacantes pueden comprometer los servidores web y, de esta forma, crear y ejecutar una webshell. Para poder explotar la vulnerabilidad es preciso que (1) el entorno sea accesible por Internet, (2) el atacante tenga credenciales de usuario autenticado. Hay evidencias de que esta vulnerabilidad está siendo explotada.
Listado de referencias
Commvault - CV_2025_03_1: Critical Webserver Vulnerability
Commvault - CV_2025_04_1: Vulnerability in Commvault Command Center Installation
WatchTowr Labs - Fire In The Hole, We’re Breaching The Vault - Commvault Remote Code Execution
Hispasec Una al dia - Vulnerabilidad de path traversal en Commvault Command Center
CISA - Known Exploited Vulnerabilities Catalog - https://www.cisa.gov/known-exploited-vulnerabilities-catalog
CybersecurityHelp - Remote code execution in Commvault Web Server
Etiquetas