00dias
00horas
00min.
00seg.

Threats

CISA identifica vulnerabilidade crítica explorada ativamente em cenários reais

A vulnerabilidade CVE-2025-34028, com pontuação máxima de gravidade, permite a execução remota de código e já está a ser explorada em ataques reais

06/05/2025

CISA identifica vulnerabilidade crítica explorada ativamente em cenários reais

A CISA adicionou a vulnerabilidade CVE-2025-34028 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV, na sigla em inglês), sinalizando que a vulnerabilidade está a ser ativamente utilizada em campanhas de ataque. A inclusão ocorreu pouco mais de uma semana após a divulgação pública do problema, o que reforça a urgência da sua mitigação.

A vulnerabilidade, com uma pontuação CVSS de 10.0, afeta versões do Commvault Command Center entre a 11.38.0 e a 11.38.19, estando corrigida nas versões 11.38.20 e 11.38.25. De acordo com a CISA, trata-se de uma vulnerabilidade de passagem de caminho que permite que um atacante remoto, sem necessidade de autenticação, execute código arbitrário no sistema afetado.

A investigação da empresa watchTowr Labs, responsável por reportar a vulnerabilidade, identificou o problema num endpoint denominado deployWebpackage.do. Este permite uma falsificação de pedido do lado do servidor (SSRF), que, ao receber um ficheiro ZIP com código malicioso num ficheiro JSP, resulta na execução remota de código quando o pacote é descompactado.

Embora não estejam ainda claros os contornos dos ataques em curso, esta é já a segunda vulnerabilidade na plataforma Commvault a ser explorada em cenários reais, após a CVE-2025-3928 — uma falha no Commvault Web Server que permite a criação e execução de web shells por parte de atacantes autenticados.

A Commvault reconheceu recentemente que a exploração da nova vulnerabilidade afetou um número limitado de clientes. No entanto, a empresa garantiu que não houve acessos não autorizados aos dados de backup armazenados pelos sistemas afetados.

Na sequência da identificação da exploração ativa, a CISA determinou que as agências federais civis dos EUA devem aplicar os patches corretivos até 23 de maio de 2025, de forma a mitigar o risco e assegurar a integridade das suas redes.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº23 Abril 2025

IT SECURITY Nº23 Abril 2025

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.