آژانس امنیت سایبری و امنیت زیرساخت‌های آمریکا (CISA) آسیب‌پذیری امنیتی با حداکثر شدت CVE-2025-34028 (امتیاز CVSS: 10.0) را که بر Commvault Command Center تأثیر می‌گذارد، به فهرست آسیب‌پذیری‌های شناخته شده مورد سوءاستفاده (KEV) اضافه کرده است. این آسیب‌پذیری path traversal نسخه‌های 11.38.0 تا 11.38.19 را تحت تأثیر قرار می‌دهد و در نسخه‌های 11.38.20 و 11.38.25 برطرف شده است. این نقص به مهاجمان غیرمجاز اجازه می‌دهد تا فایل‌های ZIP حاوی فایل‌های مخرب JSP آپلود کنند که پس از استخراج منجر به اجرای کد از راه دور می‌شود.

این دومین آسیب‌پذیری Commvault است که در حملات واقعی مورد سوءاستفاده قرار گرفته، پس از CVE-2025-3928 که امکان ایجاد و اجرای web shell را فراهم می‌کند. شرکت اعلام کرده که فعالیت‌های سوءاستفاده تعداد کمی از مشتریان را تحت تأثیر قرار داده اما دسترسی غیرمجاز به داده‌های پشتیبان مشتریان گزارش نشده است. آژانس‌های اجرایی فدرال ملزم به اعمال وصله‌های لازم تا 23 مه 2025 هستند.