La vulnerabilità CVE-2025-34028, di gravità massima (CVSS 10.0), ha recentemente attirato l’attenzione della comunità di sicurezza informatica dopo la sua aggiunta al catalogo KEV (Known Exploited Vulnerabilities) della CISA, a seguito di conferma di exploit attivi. Questa falla interessa il Commvault Command Center, una soluzione ampiamente utilizzata per la gestione e il backup dei dati aziendali. In particolare, la vulnerabilità riguarda le versioni 11.38.0 fino alla 11.38.19 dell’Innovation Release, mentre è stata risolta nelle release 11.38.20 e 11.38.25.

La natura della vulnerabilità

La natura della vulnerabilità è un path traversal che consente a un attaccante remoto e non autenticato di eseguire codice arbitrario sul server vulnerabile. Il problema risiede in uno specifico endpoint, “deployWebpackage.do”, che può essere sfruttato per caricare file ZIP contenenti file .JSP dannosi. Quando questi archivi vengono decompressi sul server di destinazione, è possibile ottenere l’esecuzione di codice remoto tramite una SSRF (Server-Side Request Forgery) pre-autenticata.

Dettagli sulla scoperta e obblighi di mitigazione

watchTowr Labs ha identificato e segnalato la vulnerabilità, sottolineando il rischio che questa porta con sé, soprattutto considerando che può essere sfruttata senza alcuna autenticazione preventiva. Nonostante non siano stati resi noti i dettagli degli exploit attivi, la presenza di questa falla nel catalogo KEV della CISA obbliga tutte le agenzie federali statunitensi a mettere in sicurezza i propri sistemi entro il 23 maggio 2025, applicando le patch ufficiali fornite da Commvault.

Precedenti e impatti

Questo è il secondo caso in cui una vulnerabilità di Commvault viene sfruttata attivamente, dopo la CVE-2025-3928 che permetteva a utenti autenticati di creare ed eseguire web shell tramite il server web. Commvault ha dichiarato che solo un numero limitato di clienti è stato colpito e che non è stato rilevato alcun accesso non autorizzato ai dati di backup.

Raccomandazioni per la sicurezza

Alla luce di questi eventi, si raccomanda a tutte le organizzazioni che utilizzano Commvault Command Center di verificare immediatamente la versione in uso e di aggiornare alle release 11.38.20 o 11.38.25 per evitare il rischio di compromissione. La rapida applicazione delle patch è fondamentale per prevenire l’escalation degli attacchi e garantire la protezione dei dati aziendali contro le minacce emergenti.