Erneut kritische Sicherheitslücke in Commvault Command Center
Die US-amerikanische Cybersicherheitsbehörde CISA hat eine gefährliche Schwachstelle in der Datensicherungs- und Verwaltungsplattform Commvault Command Center in ihren offiziellen Katalog der aktiv ausgenutzten Sicherheitslücken (KEV) aufgenommen. Nur wenige Tage nach der öffentlichen Bekanntmachung gibt es erste Hinweise auf tatsächliche Angriffe.
Die Schwachstelle trägt die Bezeichnung CVE-2025-34028 und wurde mit einem CVSS-Score von 10,0 bewertet – der höchstmöglichen Stufe. Sie betrifft die sogenannte „Innovation Release“ von Commvault, genauer gesagt, alle Versionen von 11.38.0 bis einschließlich 11.38.19. Das Problem wurde in den nachfolgenden Versionen 11.38.20 und 11.38.25 behoben.
Der Kern der Schwachstelle ist laut CISA ein Path-Traversal-Fehler, durch den ein Angreifer ohne Anmeldung speziell präparierte ZIP-Dateien hochladen kann. Durch Entpacken dieser Archive auf dem Server kann der so eingeschleuste Schadcode aktiviert und ausgeführt werden. Das Ergebnis: vollständige Kontrolle über das Zielsystem.
Wie funktioniert der Angriff?
Das Cybersicherheitsunternehmen watchTowr Labs, das die Schwachstelle entdeckt und öffentlich gemacht hat, erklärt: Die Ursache liegt in einem bestimmten Server-Endpunkt namens „deployWebpackage.do“. Dieser lässt sich so manipulieren, dass der Server schon vor der Anmeldung eines Nutzers Anfragen entgegennimmt (Server Side Request Forgery). Wird dabei ein ZIP-Archiv mit einer bösartigen .JSP-Datei hochgeladen, kann der Angreifer schließlich beliebigen Code auf dem Server ausführen.
Die technische Umsetzung ist damit nicht nur effektiv, sondern auch vergleichsweise einfach – was das Risiko für eine schnelle und breite Ausnutzung deutlich erhöht.
Bereits die zweite kritische Commvault-Lücke mit Angriffen
CVE-2025-34028 ist bereits die zweite Schwachstelle in Commvault innerhalb weniger Wochen, die nachweislich in echten Angriffen ausgenutzt wird. Zuvor war CVE-2025-3928 bekannt geworden – ein Fehler im Webserver der Plattform, der authentifizierten Angreifern das Anlegen und Ausführen von Webshells ermöglichte (CVSS-Score 8,7).
Vergangene Woche versuchte das Unternehmen damit zu beruhigen, dass nur wenige Kunden von den Angriffen betroffen wären. Zugleich wurde versichert, dass es keinerlei unbefugten Zugriff auf die Backup-Daten der Kunden gegeben habe.
Handlungsdruck für Behörden und Unternehmen
CISA hat alle zivilen Bundesbehörden in den Vereinigten Staaten verpflichtet, die Schwachstelle bis zum 23. Mai 2025 zu beheben. Auch international tätige Unternehmen, die Commvault-Lösungen einsetzen, sollten dringend handeln und ihre Systeme prüfen.
Die Schwachstelle CVE-2025-34028 verdeutlicht einmal mehr, wie schnell Fehlkonfigurationen oder unsichere Schnittstellen in Unternehmenssoftware zu einem echten Sicherheitsrisiko werden können – vor allem, wenn sie öffentlich zugänglich sind. Die Kombination aus einfacher Ausnutzung, aktivem Missbrauch und hoher Verbreitung macht diese Lücke besonders gefährlich.