Los sistemas de respaldo de Commvault presentan una grave vulnerabilidad de seguridad, es urgente aplicar la actualización.
Investigadores han descubierto un método para ejecutar código de manera remota y sin necesidad de autenticación.
Se ha descubierto una vulnerabilidad crítica en Commvault Command Center, la cual permite a actores maliciosos ejecutar código de forma remota y sin necesidad de autenticación. Este centro de mando, que es una interfaz web para la gestión centralizada de protección de datos, copias de seguridad, recuperación y cumplimiento normativo en entornos híbridos, es utilizado por miles de empresas en sectores como salud, finanzas, gobierno y manufactura.
La vulnerabilidad, identificada como CVE-2025-34028, tiene un puntaje de gravedad de 9.0 sobre 10, lo que la clasifica como crítica. Según el aviso de seguridad emitido, esta brecha permite a atacantes remotos ejecutar código arbitrario sin necesidad de autenticarse, lo que podría resultar en una completa compromisión del entorno de Command Center. Afortunadamente, otras instalaciones dentro del mismo sistema no se ven afectadas por esta vulnerabilidad.
Este problema de seguridad permite que un atacante acceda de manera no autorizada, por ejemplo, a los sistemas de copias de seguridad de una agencia gubernamental. Una vez que han logrado infiltrarse, podrían manipular o eliminar datos sensibles, interrumpir operaciones o instalar malware para mantener el control. Esto podría desencadenar filtraciones de datos, tiempos de inactividad operacional y una pérdida de confianza pública. Si se expone información clasificada, podría convertirse en un problema de seguridad nacional.
Las versiones afectadas por esta vulnerabilidad incluyen la 11.38 Innovation Release, desde la versión 11.38.0 hasta la 11.38.19. Para mitigar esta vulnerabilidad, se recomienda actualizar a las versiones 11.38.20 y 11.38.25. Hasta el momento, no hay evidencia de que esta vulnerabilidad haya sido explotada en la práctica, y tampoco existe un concepto de prueba (PoC) en el mercado. Sin embargo, muchos atacantes no buscan vulnerabilidades de día cero, sino que esperan que los investigadores de seguridad las descubran y parchen, apostando a que una gran parte de los usuarios no actualizarán sus sistemas a tiempo, dejándolos vulnerables y, por lo tanto, fácilmente explotables.
