ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Commvault Komuta Merkezi’ni etkileyen maksimum-şiddetli güvenlik kusuru, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna, kamuya açıklandıktan bir haftadan biraz fazla bir süre ekledi.
Söz konusu güvenlik açığı, 11.38.0 ila 11.38.19 sürümlerinden 11.38 inovasyon sürümünü etkileyen bir yol geçiş hatası olan CVE-2025-34028’dir (CVSS skoru: 10.0). 11.38.20 ve 11.38.25 sürümlerinde ele alınmıştır.
CISA, “Commvault Komut Merkezi, uzak, kimlik doğrulanmamış bir saldırganın keyfi kod yürütmesine izin veren bir yol geçiş güvenlik açığı içeriyor.” Dedi.
Kusur, bir saldırganın, hedef sunucuda dekomprese edildiğinde uzaktan kod yürütmesine neden olabilecek zip dosyaları yüklemesine izin verir.
Siber güvenlik şirketi WatchTowr Labs, hatayı keşfetmek ve raporlamakla tanınan, sorunun, kötü niyetli bir arşiv dosyası kullanıldığında, kod yürütme dosyası kullanıldığında, önceden onaylanmış bir sunucu tarafı isteği ameliyatı (SSRF) adlı bir uç noktada bulunduğunu söyledi.
Şu anda güvenlik açığının hangi bağlamda kullanıldığı bilinmemektedir, ancak geliştirme, CVE-2025-3928 (CVSS skoru: 8.7), CommVault Web sunucusunda, Web Kabukları yaratmaya ve yürütmesine izin veren CommVault Web sunucusunda gerçek dünya saldırılarında silahlandırılmasını sağlıyor.
Şirket, geçen hafta sömürü faaliyetinin az sayıda müşteriyi etkilediğini ancak müşteri yedekleme verilerine yetkisiz bir erişim olmadığını belirtti.
CVE-2025-34028’in aktif sömürüsü ışığında, Federal Sivil Yürütme Şubesi (FCEB) ajanslarının, ağlarını güvence altına almak için 23 Mayıs 2025’e kadar gerekli yamaları uygulamaları gerekmektedir.