Una grave falla de seguridad, identificada como CVE-2025-34028, ha sido catalogada con la máxima puntuación en la escala CVSS: 10.0 sobre 10. El error afecta directamente al componente Commvault Command Center, y permite a atacantes remotos tomar control total del servidor mediante la simple carga de un archivo ZIP especialmente manipulado.
El tipo de fallo, conocido como Path Traversal, permite que archivos maliciosos se escriban fuera del directorio previsto, lo que abre la puerta a una ejecución remota de código (RCE) sin necesidad de autenticación. La gravedad es tal que organizaciones que usen esta consola de respaldo podrían ver comprometida no solo su información crítica, sino toda su estrategia de continuidad operativa.
Commvault Command Center es una interfaz web desde la que se gestionan copias de seguridad, restauraciones y la protección de datos en múltiples entornos —físicos, virtuales o en la nube—. Esta consola central controla acceso a recursos de alto valor: bases de datos, entornos de producción, snapshots, configuraciones y credenciales.
El compromiso de esta consola equivale, en términos prácticos, a entregar privilegios administrativos sobre el sistema de backups completo. Desde allí, un atacante podría eliminar datos, cifrarlos con ransomware o incluso exfiltrar información sensible.
La vulnerabilidad descubierta se apoya en una cadena de errores que permite la ejecución remota de código:
El servidor puede ser inducido a realizar una petición HTTP a una dirección externa controlada por el atacante, desde la cual descarga un archivo ZIP malicioso.
El archivo ZIP contiene rutas manipuladas (como ../../../) que, al ser descomprimidas, permiten escribir archivos fuera del directorio permitido por el sistema.
Una vez extraído el archivo ZIP, si el contenido malicioso queda en una ubicación ejecutable, el sistema ejecuta el código, brindando al atacante acceso total al servidor.
Todo esto ocurre sin necesidad de que el atacante se autentique. Basta con que tenga acceso a la interfaz de red del servidor para iniciar el ataque. La cadena de explotación es limpia, silenciosa y devastadora.
Este fallo impacta únicamente a la línea Innovation Release de Commvault Command Center, concretamente a las versiones entre la 11.38.0 y 11.38.19, tanto en Windows como en Linux. Las versiones LTS (Long-Term Support) no están afectadas.
La vulnerabilidad solo afecta al módulo Command Center y no compromete por sí misma a otros componentes de la plataforma Commvault.
La compañía ha emitido parches de seguridad que corrigen la vulnerabilidad. Se recomienda tomar las siguientes acciones de forma inmediata:
Commvault ha publicado las versiones 11.38.20 y 11.38.25, donde la vulnerabilidad ha sido corregida. Es fundamental actualizar todos los servidores afectados sin demora.
Si no es posible aplicar el parche de forma inmediata, se recomienda aislar el servidor de Command Center del acceso externo. Debe estar disponible solo para administradores autorizados, idealmente mediante VPN y con controles de red estrictos.
Revisar logs del sistema y escanear indicadores de compromiso es clave para detectar cualquier intento de explotación. También se recomienda implementar alertas para cualquier carga o ejecución anómala de archivos ZIP.
