La vulnerabilidad CVE-2025-34028 es un fallo crítico (con valor CVSS de 10) el cual permite a un atacante no autenticado tomar el control total de servidores Commvault Command Center 11.38 mediante la carga de un archivo ZIP malicioso. El error, de tipo path traversal, conduce a ejecución remota de código (RCE), poniendo riesgo los backups de la organización. Dada la naturaleza sensible de los sistemas de respaldo (que suelen contener datos críticos y credenciales de varios entornos), esta vulnerabilidad representa un riesgo serio tanto para la seguridad técnica como para la continuidad de negocio de las organizaciones.
¿Qué es Commvault Command Center?
Commvault Command Center es la consola web que centraliza la configuración, supervisión y restauración de datos protegidos por la plataforma Commvault. Controla desde la seguridad de bases de datos hasta nubes híbridas: si alguien compromete la consola, compromete también los activos que gestiona. Por eso, un RCE aquí equivale, en la práctica, a acceso privilegiado a toda la estrategia de backup y, con ello, a la posibilidad de cifrar, destruir o filtrar información crítica.
CVE-2025-34028
El CVE-2025-34028 es una vulnerabilidad de tipo Path Traversal con posibilidad de escalar a ejecución remota de código (RCE). En términos sencillos, se trata de un fallo en la validación de las rutas de archivo dentro de Commvault Command Center que un atacante puede aprovechar para cargar archivos maliciosos fuera del directorio permitido, llevando a la ejecución de código en el servidor objetivo. Lo más preocupante es que el ataque puede realizarse sin necesidad de autenticación previa; es decir, cualquiera que pueda comunicarse con la interfaz vulnerable de Commvault podría explotarla directamente.
¿Cómo funciona el exploit?
En resumen, el investigador de seguridad que descubrió el fallo (Sonny MacDonald de watchTowr) encontró un endpoint en el servicio web de Commvault accesible sin autenticación, el cual tenía dos vulnerabilidades relacionadas:
- SSRF (Server-Side Request Forgery): primero, el atacante puede “engañar” al servidor Commvault para que realice una petición HTTP a una dirección controlada por el atacante. En otras palabras, el sistema vulnerable puede ser inducido a “descargar un archivo ZIP malicioso desde un servidor externo” controlado por el atacante. Esto es posible por la falta de validación adecuada en ese endpoint, permitiendo peticiones salientes a direcciones arbitrarias.
- Path Traversal en la extracción de ZIP: en segundo lugar, existe un fallo al validar la ruta de los archivos al descomprimir ese ZIP dentro del servidor Commvault. El atacante diseña el archivo ZIP con rutas especialmente manipuladas (“../”) de modo que, al ser extraído por el servidor, los archivos se escriban fuera de la ubicación prevista. Este es el clásico ataque de path traversal, donde mediante secuencias de salto de directorio se escapa de la carpeta permitida.
- Ejecución de código: combinando lo anterior, el atacante incluye en el ZIP algún archivo ejecutable o script malicioso. Una vez que el ZIP es descargado y extraído en una ubicación del sistema donde puede ejecutarse, el código malicioso se ejecuta en el servidor.
En resumen, la ruta de explotación consiste en forzar al servidor Commvault a que se autocargue un fichero malicioso y lo ejecute. Esta cadena aprovecha la combinación de SSRF (para la descarga) y path traversal (para la escritura fuera de ruta permitida), terminando en ejecución remota de código. Dado que el ataque se lleva a cabo a través de la red sin requerir credenciales ni interacción de un usuario legítimo, además de que puede comprometer completamente la confidencialidad, integridad y disponibilidad del sistema, no es sorprendente que se le haya dado la calificación más alta de criticidad en la escala CVSS (10/10).
Productos y versiones afectados
Esta vulnerabilidad afecta específicamente al Commvault Command Center en su rama de últimos lanzamientos conocida como Innovation Release. En particular, están afectados Commvault Command Center versiones 11.38.0 hasta la 11.38.19, en plataformas Windows y Linux. Cabe destacar que Commvault suele ofrecer dos ramas de software: una de soporte a largo plazo (LTS, más conservadora) y la Innovation Release (con funcionalidades más recientes). Las versiones LTS de Commvault no se ven impactadas por CVE-2025-34028, solo la versión 11.38 en su rango mencionado. Además, según la propia compañía, “otras instalaciones dentro del mismo sistema no se ven afectadas por esta vulnerabilidad”; es decir, el problema se limita al módulo Command Center y no compromete por sí mismo a otros componentes de Commvault en el servidor.
Recomendaciones de mitigación
La buena noticia es que, junto con la publicación del CVE-2025-34028, el proveedor lanzó parches y soluciones para mitigar el problema. A continuación, se listan las acciones recomendadas para proteger su entorno:
- Actualizar Commvault a la versión corregida: Commvault ha solucionado la vulnerabilidad en las versiones 11.38.20 y 11.38.25 de su Innovation Release, publicadas el 10 de abril de 2025. Por lo tanto, la medida principal es actualizar todos los servidores Command Center afectados a la versión 11.38.20 (o superior) lo antes posible. Es importante verificar que la actualización se haya aplicado correctamente y que la versión del producto corresponda a la corregida.
- Aislar o restringir el acceso al servidor de backups: si por motivos operativos no es posible actualizar de inmediato, aisle temporalmente el Commvault Command Center de cualquier acceso externo. Idealmente, este sistema debería residir en una zona de red segmentada y accesible únicamente a través de VPN u otros medios seguros para los administradores autorizados.
Más información:
- https://nvd.nist.gov/vuln/detail/CVE-2025-34028
- https://docs.commvault.com/securityadvisories/CV_2025_04_1.html
- https://labs.watchtowr.com/fire-in-the-hole-were-breaching-the-vault-commvault-remote-code-execution-cve-2025-34028/
