- شناسه CVE-2025-34028 :CVE
- CWE-22 :CWE
- yes :Advisory
- منتشر شده: آوریل 22, 2025
- به روز شده: آوریل 22, 2025
- امتیاز: 10
- نوع حمله: Path Traversal
- اثر گذاری: Remote code execution(RCE)
- حوزه: ابزارهای مدیریت فایل و فشردهسازی
- برند: Commvault
- محصول: Command Center Innovation Release
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در نسخه 11.38 از Commvault Command Center Innovation شناساییشده است. این آسیبپذیری بخشی ناشناخته از مؤلفهی بارگذاری فایل ZIP را تحت تأثیر قرار میدهد و منجر به حمله عبور از مسیر (Path Traversal) میشود. این آسیبپذیری با شناسه CVE-2025-34028 ثبتشده و قابل اکسپلویت از راه دور است.
توضیحات
بر اساس طبقهبندی CWE-22، این آسیبپذیری به دلیل استفاده از ورودی خارجی برای ساخت مسیر فایل یا پوشهای است که باید درون یک شاخهی محدود (مجاز) باقی بماند؛ اما نرمافزار نتوانسته بهدرستی عناصر خاص مسیر را خنثی کند و همین باعث میشود که مسیر نهایی به بیرون از شاخهی مجاز ختم شود.
این آسیبپذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترسپذیری (Availability) تأثیر میگذارد.
اکسپلویت این آسیبپذیری آسان گزارششده است. همچنین، هیچگونه احراز هویتی برای اکسپلویت آن لازم نیست.
CVSS
| Score | Severity | Version | Vector String |
| 10 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H |
لیست محصولات آسیبپذیر
| Versions | Product |
| affected at 11.38 | Command Center Innovation Release |
لیست محصولات بروز شده
| Product | Platforms | Affected Versions | Resolved Version |
| Commvault | Linux, Windows | 11.38.0 – 11.38.19 | 11.38.20 |
نتیجهگیری
برای جلوگیری از نفوذ از نسخه بهروزرسانی شده استفاده کنید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-34028
- https://www.cvedetails.com/cve/CVE-2025-34028/
- https://documentation.commvault.com/securityadvisories/CV_2025_04_1.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-34028
- https://vuldb.com/?id.305912
- https://nvd.nist.gov/vuln/detail/CVE-2025-34028
- https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json
- https://cwe.mitre.org/data/definitions/22.html
