شرکت Commvault اعلام کرد که عوامل تهدید وابسته به دولت با اکسپلویت از آسیبپذیری روز صفر با شناسه CVE-2025-3928 (امتیاز 8.7) به محیط Microsoft Azure شرکت نفوذ کرد، با این حال هیچگونه شواهدی مبنی بر دسترسی غیرمجاز به دادههای مشتریان وجود ندارد.
Commvault در به روزرسانی اخیر خود افزود: این فعالیت تنها تعداد محدودی از مشتریان مشترک با مایکروسافت را تحت تأثیر قرار داد و در حال همکاری با این مشتریان برای ارائه پشتیبانی هستند. مهمتر از همه اینکه هیچگونه دسترسی غیرمجاز به دادههای پشتیبان مشتریان که توسط Commvault ذخیره و محافظت میشود، رخ نداد و تأثیر مادی بر عملیات تجاری یا توانایی در ارائه محصولات و سرویسها نداشتند.» افشاگری در حالی صورت گرفت که CISA آسیبپذیری CVE-2025-3928 را به فهرست KEV افزوده و به نهادهای زیرمجموعه FCEB دستور داد که تا 19 می 2025 وصلههای لازم برای سرور وب Commvault را اعمال کنند.
https://www.bleepingcomputer.com/news/security/commvault-says-recent-breach-didnt-impact-customer-backup-data/
https://thehackernews.com/2025/05/commvault-confirms-hackers-exploited.html
