Commvault 严重漏洞可导致系统完全沦陷

使用 Commvault Innovation Release 的重漏企业需立即修补 CVE-2025-34028 漏洞。该高危漏洞允许攻击者远程执行代码并获取系统完全控制权。洞可导

漏洞详情分析

在企业级备份与数据管理解决方案 Commvault Command Center 中发现一个严重安全漏洞（编号 CVE-2025-34028
，系统CVSS 评分为 9.0/10）。完全攻击者无需登录即可在存在漏洞的沦陷 Commvault 系统上远程执行任意代码。

2025 年 4 月 7 日 ，重漏watchTowr Labs 研究员 Sonny Macdonald 发现并负责任地报告了该漏洞。洞可导分析显示漏洞存在于名为 "deployWebpackage.do" 的系统 Web 接口组件中 。由于缺乏对 Commvault 系统可交互外部服务器的完全有效验证，模板下载该端点易受预认证服务器端请求伪造（SSRF）攻击。沦陷

Commvault 在 2025 年 4 月 17 日发布的重漏安全公告中承认
，该漏洞"可能导致 Command Center 环境完全沦陷"
，洞可导可能泄露敏感数据并中断关键业务。系统

攻击链技术解析

SSRF 漏洞仅是完全实现远程代码执行的起点
。研究发现 ，沦陷攻击者可进一步利用该漏洞发送特制 ZIP 压缩包（内含恶意 ".JSP" 文件） ，诱骗 Commvault 服务器从攻击者控制的服务器获取该文件 。源码下载ZIP 内容会被解压至攻击者可操控的临时目录 。

通过精心构造后续请求中的 "servicePack" 参数，攻击者可扫描系统目录，将恶意 ".JSP" 文件移动至可公开访问的位置（如 "../../Reports/MetricsUpload/shell"） 。最终再次触发 SSRF 漏洞时 ，攻击者即可从该位置执行恶意文件，实现 Commvault 系统上的任意代码执行。

值得注意的免费模板是，该 ZIP 文件并非以常规方式读取 ，而是在漏洞组件处理前通过"多部分请求"读取 。这种机制可能使攻击者绕过常规 Web 请求的安全防护措施。

修复方案与应对建议

watchTowr Labs 向 Commvault 报告该问题后，厂商迅速于 2025 年 4 月 10 日发布补丁，并于 4 月 17 日公开披露。经确认，该漏洞仅影响 Linux 和 Windows 平台的服务器租用 "Innovation Release" 软件版本 11.38.0 至 11.38.19，升级至 11.38.20 或 11.38.25 即可修复 。watchTowr Labs 还开发了"检测构件生成器"帮助管理员识别受影响的系统 。

行业专家警示

ColorTokens 副总裁兼 CISO 顾问 Agnidipta Sarkar 评论称："这个 CVSS 10 分漏洞允许未经认证的远程代码执行，可能导致 Commvault Command Center 完全沦陷。必须立即采取持续缓解措施。若无法实施全网关闭，可采用 Xshield Gatekeeper 等工具快速隔离关键系统。若不采取行动，将面临严重的香港云服务器勒索软件和数据丢失威胁 。"

备份系统安全启示

此次事件凸显备份系统正成为网络攻击的高价值目标。这些系统对攻击后恢复至关重要
 ，一旦被控制将构成重大威胁——因其通常存储着企业核心系统的机密凭证。该漏洞的严重性表明 ，必须及时更新数据保护和备份基础设施的安全补丁。