Résumé
Le 28 avril 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans certains produits de la société Commvault. Ces produits sont utilisés pour les serveurs web.
Référencée sous CVE-2025-3928, cette vulnérabilité permet à un attaquant, qui a déjà accès au système, de créer et d’exécuter des fichiers malveillants.
Solutions
Mettre à jour Commvault Web Server vers la version 11.20.217, 11.28.141, 11.32.89, 11.36.46 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Commvault.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 8.8
Risques : Exécution de code arbitraire
Systèmes affectés
Produits Commvault affectés
- Versions 11.20.x antérieures à 11.20.217
- Versions 11.28.x antérieures à 11.28.141
- Versions 11.32.x antérieures à 11.32.89
- Versions 11.36.x antérieures à 11.36.46
Documentation
- Bulletin de sécurité de Commvault
https://documentation.commvault.com/securityadvisories/CV_2025_03_1.html
- Bulletin de sécurité du cert-santé
https://cyberveille.esante.gouv.fr/alertes/commvault-cve-2025-3928-2025-04-28
- Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-3928
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-3928/
- Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-3928