آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) آسیبپذیری بسیار بحرانیای را با شناسه CVE-2025-34028 که بر Commvault Command Center تأثیر میگذارد، به فهرست آسیبپذیریهای شناختهشده مورد سوءاستفاده (KEV) اضافه کرد. این اقدام تنها اندکی بیش از یک هفته پس از افشای عمومی این آسیبپذیری صورت گرفت.
جزئیات آسیبپذیری CVE-2025-34028
آسیبپذیری مذکور با شناسه CVE-2025-34028 و امتیاز CVSS برابر 10.0 (حداکثر شدت) یک نقص پیمایش مسیر (Path Traversal) است که نسخه Innovation Release 11.38 از نسخههای 11.38.0 تا 11.38.19 را تحت تأثیر قرار میدهد. این مشکل در نسخههای 11.38.20 و 11.38.25 برطرف شده است.
CISA در توضیح این نقص اعلام کرده است که این آسیبپذیری به مهاجم راه دور و بدون احراز هویت اجازه میدهد کد دلخواه خود را اجرا کند. این آسیبپذیری درواقع به مهاجم امکان میدهد فایلهای ZIP مخربی را آپلود کند که در صورت استخراج روی سرور هدف، به اجرای کد از راه دور (RCE) منجر میشوند.
شرکت امنیتی watchTowr Labs که کاشف و گزارشدهنده این نقص بوده، توضیح داده که مشکل در اندپوینتی به نام deployWebpackage.do وجود دارد که امکان اجرای یک حمله درخواست از سمت سرور (SSRF) بدون نیاز به احراز هویت را فراهم میکند. این SSRF در نهایت با استفاده از یک فایل ZIP حاوی فایل .JSP مخرب منجر به اجرای کد میشود، که بهطور بالقوه منجر به کنترل کامل محیط Command Center میشود.
در حال حاضر جزئیات نحوه سوءاستفاده از این آسیبپذیری بهصورت دقیق مشخص نیست، اما این آسیبپذیری دومین نقص امنیتی در محصولات Commvault محسوب میشود که پس از CVE-2025-3928 (با امتیاز 8.7) در حملات دنیای واقعی مورد سوءاستفاده قرار گرفته است. آسیبپذیری قبلی مربوط به مؤلفه Web Server بوده و به مهاجم احراز هویتشده امکان ساخت و اجرای وبشل را میدهد.
شرکت Commvault اعلام کردهاست که فعالیت سوءاستفادهگرانه تنها تعداد کمی از مشتریان را تحت تأثیر قرار داده و هیچگونه دسترسی غیرمجاز به دادههای پشتیبانگیری مشتریان گزارش نشده است.
توصیه امنیتی
با توجه به سوءاستفاده فعال از CVE-2025-34028، کلیه سازمانهای زیرمجموعه دولت فدرال ایالات متحده (FCEB) موظف شدهاند که تا تاریخ ۲۳ می ۲۰۲۵ بهروزرسانیهای لازم را برای محافظت از شبکههای خود اعمال کنند.
