一、 漏洞 CVE-2025-34028 基础信息
漏洞信息
                                        # Commvault Command Center Innovation Release 未经身份验证的路径穿越漏洞

# 漏洞描述

## 概述
Commvault Command Center Innovation Release中存在一个路径遍历漏洞,允许未认证的攻击者上传ZIP文件。这些ZIP文件在目标服务器上解压后,可能导致远程代码执行。

## 影响版本
- Command Center Innovation Release: 11.38

## 细节
该漏洞允许未认证的攻击者上传ZIP文件。这些文件在目标服务器上解压时,可能在系统中执行任意代码。

## 影响
此漏洞可能导致远程代码执行,从而给系统带来严重安全风险。未经授权的攻击者可以利用该漏洞在目标服务器上执行任意代码。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Commvault Command Center Innovation Release Unathenticated Install Package Path Traversal
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Commvault Command Center Innovation Release allows an unauthenticated actor to upload ZIP files that represent install packages that, when expanded by the target server, are vulnerable to path traversal vulnerability that can result in Remote Code Execution via malicious JSP. This issue affects Command Center Innovation Release: 11.38.0 to 11.38.20. The vulnerability is fixed in 11.38.20 with SP38-CU20-433 and SP38-CU20-436 and also fixed in 11.38.25 with SP38-CU25-434 and SP38-CU25-438.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Commvault Command Center 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Commvault Command Center是美国Commvault公司的一个图形化管理界面。 Commvault Command Center 11.38版本存在安全漏洞,该漏洞源于路径遍历漏洞,可能导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-34028 的公开POC
# POC 描述 源链接 神龙链接
1 A path traversal vulnerability in Commvault Command Center Innovation Release allows an unauthenticated actor to upload ZIP files, which, when expanded by the target server, result in Remote Code Execution. This issue affects Command Center Innovation Release: 11.38. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-34028.yaml POC详情
三、漏洞 CVE-2025-34028 的情报信息