Am vergangenen Wochenende wurden Angriffe im Internet auf eine weitere Sicherheitslücke in Commvaults Command Center Innovation Release bekannt. Das von Commvault bereitgestellte Update dichtet die Sicherheitslücke offenbar nicht korrekt ab.
Die Sicherheitslücke mit den Schwachstelleneinträgen EUVD-2025-12275 respektive CVE-2025-34028 besteht darin, dass Angreifer aus dem Netz ohne vorherige Authentifizierung ZIP-Dateien hochladen können, die beim Entpacken auf dem Zielserver zum Ausführen von darin eingeschmuggelten Schadcode führen können (CVSS 10.0, Risiko "kritisch").
Gemäß der üblichen Gepflogenheiten hat Commvault mit einem Softwareupdate auf Commvault 11.38.20 für Linux und Windows reagiert. Commvault stellt auch eine eigene Sicherheitsmitteilung bereit, die am heutigen Mittwoch aktualisiert wurde. Nun veröffentlicht der Hersteller weitere Zusatzupdates für 11.38.20 zusätzlich SP38-CU20-433 sowie SP38-CU20-436 und für 11.38.25 noch SP38-CU25-434 sowie SP38-CU25-438.
Der IT-Sicherheitsforscher Will Dormann hat mit einer virtuellen Maschine mit der Commvault-Software in Version 11.38.25 getestet, ob ein Exploit für die Sicherheitslücke funktioniert.
Dormann schreibt, dass Commvault behauptet, die Versionen 11.38.20 und 11.38.25 besserten die Schwachstelle aus; die IT-Forscher von Watchtowr hätten die Lücke in Version 11.38.20 entdeckt. Da der Proof-of-Concept-Exploit gegen die vermeintlich gefixte Version 11.38.25 funktioniere, habe er da "Vertrauensprobleme". Vor wenigen Stunden hat Dormann die zusätzlichen Updates erwähnt, die Commvault nun in der aktualisierten Sicherheitsmitteilung auflistet. Deren Installation will ihm nicht gelingen. Dadurch ist es ihm auch nicht möglich, deren Wirksamkeit zu prüfen.
IT-Verantwortliche sollten dennoch zügig versuchen, mit dem von Commvault angedachten "Downloading Software On Demand" die Updates und Zusatz-Hotfixes anzuwenden, um sicherzustellen, dass ihre Systeme auf dem aktuellen Stand sind.
Commvault-Sicherheitslücken sind für Cyberkriminelle offenbar attraktiv. Erst in der Vorwoche haben Angreifer eine ebenfalls hochriskante Sicherheitslücke in der Backup-Software missbraucht, EUVD-2025-12508 respektive CVE-2025-3928 (CVSS 8.8, Risiko "hoch").