Brecha em Commvault Command Center

6 de Maio de 2025

A Agência de Segurança de Cibersegurança e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança de máxima severidade que impacta o Commvault Command Center ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), um pouco mais de uma semana após sua divulgação pública.

A vulnerabilidade em questão é a CVE-2025-34028 (pontuação CVSS: 10.0), um bug de path traversal que afeta o lançamento da Inovação 11.38, das versões 11.38.0 até 11.38.19.

Ela foi corrigida nas versões 11.38.20 e 11.38.25.

"O Commvault Command Center contém uma vulnerabilidade de path traversal que permite a um atacante remoto, não autenticado, executar código arbitrário," disse a CISA.

A falha, essencialmente, permite a um atacante fazer o upload de arquivos ZIP que, quando descompactados no servidor alvo, poderia resultar em execução de código remoto.

A empresa de cibersegurança watchTowr Labs, que foi creditada por descobrir e reportar o bug, disse que o problema reside em um endpoint chamado "deployWebpackage.do" que desencadeia um Server-Side Request Forgery (SSRF) pré-autenticado, resultando em execução de código ao utilizar um arquivo de arquivo ZIP contendo um arquivo .JSP malicioso.

Atualmente, não se sabe em que contexto a vulnerabilidade está sendo explorada, mas o desenvolvimento torna isso a segunda falha Commvault a ser utilizada em ataques reais após o CVE-2025-3928 (pontuação CVSS: 8.7), uma questão não especificada no Commvault Web Server que permite a um atacante remoto, autenticado, criar e executar web shells.

A empresa revelou na última semana que a atividade de exploração afetou um pequeno número de clientes, mas observou que não houve acesso não autorizado aos dados de backup dos clientes.

Diante da exploração ativa do CVE-2025-34028 , as agências do Ramo Executivo Federal Civil (FCEB) são obrigadas a aplicar os patches necessários até 23 de maio de 2025, para proteger suas redes.

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...