Una vulnerabilidad crítica en Commvault Command Center ha encendido las alarmas en la comunidad de ciberseguridad. Identificada como CVE-2025-34028, esta falla de tipo path traversal permite a un atacante no autenticado ejecutar código arbitrario en el servidor, comprometiendo por completo los sistemas de respaldo de una organización. Con una puntuación CVSS de 10.0, se trata de una amenaza de máximo nivel que afecta directamente a la continuidad del negocio y la protección de datos críticos.

¿Qué es Commvault Command Center?

Commvault Command Center es la consola web desde la cual los administradores gestionan copias de seguridad, restauraciones y configuraciones en entornos híbridos. Al centralizar el control de múltiples activos —bases de datos, nubes, archivos, y más—, comprometer esta consola equivale a tener las llaves de toda la estrategia de protección de datos de una empresa. Por ello, cualquier RCE (Remote Code Execution) en este módulo representa una brecha extremadamente grave.

Detalles técnicos de la vulnerabilidad

La falla descubierta por Sonny MacDonald del equipo de investigación de watchTowr Labs combina dos vectores de ataque en una cadena que permite ejecutar código en el servidor sin autenticación:

1.  SSRF (Server-Side Request Forgery)

El atacante explota un endpoint vulnerable que no valida correctamente las URLs externas. Esto permite al servidor Commvault enviar peticiones HTTP hacia ubicaciones arbitrarias, como por ejemplo un servidor malicioso controlado por el atacante.

2. Path Traversal al descomprimir un ZIP

A continuación, el atacante fuerza la descarga de un archivo ZIP especialmente diseñado, con rutas como ../../ dentro de su estructura. Al ser extraído por el servidor, los archivos pueden sobrescribir ubicaciones sensibles fuera del directorio permitido.

3. Ejecución remota de código (RCE)

Mediante esta técnica, es posible introducir scripts o ejecutables maliciosos directamente en rutas donde el sistema puede ejecutarlos, lo que otorga al atacante control total del servidor.

La gravedad del ataque radica en que no requiere credenciales ni intervención del usuario. Basta con acceso a la red donde reside el Commvault Command Center para explotar el fallo y ejecutar código con privilegios en el sistema.

Versiones afectadas

El fallo impacta a la rama de desarrollo conocida como Innovation Release, específicamente:

• Commvault Command Center 11.38.0 a 11.38.19
• En sistemas Windows y Linux

La rama LTS (Long Term Support) no se ve afectada, y el resto de componentes del sistema Commvault (fuera del módulo Command Center) tampoco están comprometidos, según confirmó el proveedor.

Mitigación y acciones recomendadas

Commvault publicó un parche de seguridad apenas se divulgó la vulnerabilidad. Estas son las medidas recomendadas:

• Actualizar de inmediato a las versiones 11.38.20 o 11.38.25, que corrigen el problema (publicadas el 10 de abril de 2025). Verifica que la versión activa en el entorno corresponde a una de estas.
• Segmentar y restringir el acceso al servidor de Commvault Command Center, especialmente si no es posible aplicar la actualización de forma inmediata. Lo ideal es que este sistema solo sea accesible desde redes internas o mediante canales seguros como VPN.
• Revisar registros y configuraciones para detectar signos de explotación, especialmente accesos no autorizados o cambios inesperados en rutas del sistema.

Este caso refuerza una lección crítica en seguridad: los sistemas de backup no solo deben proteger la información, sino que también deben estar protegidos como activos de alto valor. Una consola mal asegurada como la de Commvault puede convertirse en la puerta de entrada para ataques devastadores.

---

Referencias técnicas:

• CVE-2025-34028 en NIST
• Aviso oficial de Commvault
• Análisis de watchTowr Labs

---