Brecha em Commvault Command Center
6 de Maio de 2025

A Agência de Segurança de Cibersegurança e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança de máxima severidade que impacta o Commvault Command Center ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), um pouco mais de uma semana após sua divulgação pública.

A vulnerabilidade em questão é a CVE-2025-34028 (pontuação CVSS: 10.0), um bug de path traversal que afeta o lançamento da Inovação 11.38, das versões 11.38.0 até 11.38.19.

Ela foi corrigida nas versões 11.38.20 e 11.38.25.

"O Commvault Command Center contém uma vulnerabilidade de path traversal que permite a um atacante remoto, não autenticado, executar código arbitrário," disse a CISA.

A falha, essencialmente, permite a um atacante fazer o upload de arquivos ZIP que, quando descompactados no servidor alvo, poderia resultar em execução de código remoto.

A empresa de cibersegurança watchTowr Labs, que foi creditada por descobrir e reportar o bug, disse que o problema reside em um endpoint chamado "deployWebpackage.do" que desencadeia um Server-Side Request Forgery (SSRF) pré-autenticado, resultando em execução de código ao utilizar um arquivo de arquivo ZIP contendo um arquivo .JSP malicioso.

Atualmente, não se sabe em que contexto a vulnerabilidade está sendo explorada, mas o desenvolvimento torna isso a segunda falha Commvault a ser utilizada em ataques reais após o CVE-2025-3928 (pontuação CVSS: 8.7), uma questão não especificada no Commvault Web Server que permite a um atacante remoto, autenticado, criar e executar web shells.

A empresa revelou na última semana que a atividade de exploração afetou um pequeno número de clientes, mas observou que não houve acesso não autorizado aos dados de backup dos clientes.

Diante da exploração ativa do CVE-2025-34028 , as agências do Ramo Executivo Federal Civil (FCEB) são obrigadas a aplicar os patches necessários até 23 de maio de 2025, para proteger suas redes.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...