Update: Systemkompromittierung durch Commvault-Produkt möglich

Die Warnmeldung wurde am 7. Mai 2025 aufgrund weiterführender Informationen aktualisiert. 

Über die Schwachstelle können Angreifende auf dem System beliebigen Schadcode einschleusen und ausführen. Ein solcher RCE-Angriff (Remote Code Execution) kann zu einer vollständigen Kompromittierung des betroffenen Systems führen.

Betroffen sind die Versionen 11.38.0 bis 11.38.19 unter Linux und Microsoft Windows. Die Schwachstelle besitzt die Kennung CVE-2025-34028 und hat einen CVSS-Base-Score von 10/10. Diese Informationen veröffentlichte der Hersteller in einem Sicherheitshinweis.

Laut Berichten mehrerer IT-Nachrichtenportale wird CVE-2025-34028 durch ein alleiniges Update auf die Version 11.38.20 oder 11.38.25 nicht behoben. Das Unternehmen Commvault ergänzte seinen unten verlinkten Sicherheitshinweis um die zusätzlichen Updates SP38-CU20-433 sowie SP38-CU20-436 für 11.38.20 und SP38-CU25-434 sowie SP38-CU25-438 für 11.38.25.

Commvault ist ein US-amerikanischer Hersteller von Datensicherungs- und Verwaltungssoftware. Der Hauptsitz ist in Tinton Falls im US-Bundesstaat New Jersey.

Bitte beachten Sie die folgenden Hinweise:

• Wenn die automatische Aktualisierung aktiviert ist, sollte das Produkt automatisch aktualisiert werden.
• Wenn die automatische Aktualisierung nicht aktiviert oder nicht erwünscht ist, trennen Sie das betroffene System von externen Netzwerken.
• Installieren Sie umgehend die zusätzlichen Updates SP38-CU20-433 sowie SP38-CU20-436 für die Version 11.38.20.
• Installieren Sie umgehend die zusätzlichen Updates SP38-CU25-434 sowie SP38-CU25-438 für die Version 11.38.25.