Commvault Command Center 被披露存在一个严重的安全漏洞，该漏洞可能会使受影响的安装环境中出现任意代码执行的情况。

这个漏洞被追踪编号为 CVE-2025-34028，在通用漏洞评分系统（CVSS）中，满分 10 分的情况下，它的评分为 9 分。

Commvault 在 2025 年 4 月 17 日发布的一份安全公告中称：“已在命令中心的安装中发现一个严重的安全漏洞，这使得远程攻击者无需进行身份验证即可执行任意代码。该漏洞可能会导致命令中心环境被完全攻陷。”

该漏洞影响 11.38 创新版本，从 11.38.0 版本到 11.38.19 版本，并且已在以下版本中得到修复 ——11.38.20 版本、11.38.25 版本。

watchTowr 实验室的研究人员 Sonny Macdonald 因发现并于 2025 年 4 月 7 日报告了这一漏洞而受到认可。他在与The Hacker News分享的一份报告中表示，该漏洞可能会被利用，从而实现预身份验证的远程代码执行。

具体来说，问题源于一个名为 “deployWebpackage.do” 的端点。由于 “没有对可以与之通信的主机进行过滤”，这引发了所谓的预身份验证服务器端请求伪造（SSRF）。

更糟糕的是，通过利用一个包含恶意.JSP 文件的 ZIP 存档文件，服务器端请求伪造（SSRF）漏洞可能会被进一步利用，从而实现代码执行。整个事件的流程如下 ——

1.向 /commandcenter/deployWebpackage.do 发送一个 HTTP 请求，使 Commvault 实例从外部服务器检索一个 ZIP 文件。

2.ZIP 文件的内容会被解压到攻击者控制的.tmp 目录中。

3.使用 servicePack 参数从.tmp 目录遍历到服务器上一个面向预身份验证的目录，例如../../Reports/MetricsUpload/shell。

4.通过 /commandcenter/deployWebpackage.do 执行服务器端请求伪造（SSRF）。

5.从 /reports/MetricsUpload/shell/.tmp/dist-cc/dist-cc/shell.jsp 执行脚本。

watchTowr 还创建了一个检测工件生成器，各机构可以使用它来判断其自身的实例是否存在该漏洞。

由于像 Veeam 和 NAKIVO 这样的备份和复制软件中的漏洞已在现实中被积极利用，用户采取必要的缓解措施来防范潜在威胁至关重要。