CommVault : une vulnérabilité de sévérité maximale désormais exploitée

L’agence américaine de la cybersécurité et de la sécurité des infrastructures (Cisa) vient d’ajouter la vulnérabilité référencée CVE-2025-34208 à sa liste de vulnérabilités connues pour être activement exploitées.

Cette vulnérabilité avait été rendue publique par CommVault le 11 avril dernier. Associée à un score de sévérité de 10, le plus élevé, elle permet à des attaquants « d’exécuter à distance du code arbitraire sans authentification » sur les instances de Command Center. Les versions Linux comme Windows sont affectées, de la 11.38.0 à la 11.38.19. Un correctif est disponible depuis le 10 avril. « Si installer la mise à jour n’est pas réalisable », il convient « d’isoler l’installation de Command Center des accès réseau externes », indique CommVault.

WatchTowr, qui avait commencé à chercher les systèmes exposés et à alerter les clients concernés le 7 avril, a publié un démonstrateur d’exploitation le 24 avril. L’éditeur propose également un outil de détection de systèmes vulnérables.

Sommairement, la vulnérabilité permet à un assaillant de téléverser des charges utiles compressées dans des fichiers ZIP, sur les systèmes vulnérables, qui y seront décompressés avant exécution.