CISA identifica vulnerabilidade crítica explorada ativamente em cenários reais

A CISA adicionou a vulnerabilidade CVE-2025-34028 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV, na sigla em inglês), sinalizando que a vulnerabilidade está a ser ativamente utilizada em campanhas de ataque. A inclusão ocorreu pouco mais de uma semana após a divulgação pública do problema, o que reforça a urgência da sua mitigação.

A vulnerabilidade, com uma pontuação CVSS de 10.0, afeta versões do Commvault Command Center entre a 11.38.0 e a 11.38.19, estando corrigida nas versões 11.38.20 e 11.38.25. De acordo com a CISA, trata-se de uma vulnerabilidade de passagem de caminho que permite que um atacante remoto, sem necessidade de autenticação, execute código arbitrário no sistema afetado.

A investigação da empresa watchTowr Labs, responsável por reportar a vulnerabilidade, identificou o problema num endpoint denominado deployWebpackage.do. Este permite uma falsificação de pedido do lado do servidor (SSRF), que, ao receber um ficheiro ZIP com código malicioso num ficheiro JSP, resulta na execução remota de código quando o pacote é descompactado.

Embora não estejam ainda claros os contornos dos ataques em curso, esta é já a segunda vulnerabilidade na plataforma Commvault a ser explorada em cenários reais, após a CVE-2025-3928 — uma falha no Commvault Web Server que permite a criação e execução de web shells por parte de atacantes autenticados.

A Commvault reconheceu recentemente que a exploração da nova vulnerabilidade afetou um número limitado de clientes. No entanto, a empresa garantiu que não houve acessos não autorizados aos dados de backup armazenados pelos sistemas afetados.

Na sequência da identificação da exploração ativa, a CISA determinou que as agências federais civis dos EUA devem aplicar os patches corretivos até 23 de maio de 2025, de forma a mitigar o risco e assegurar a integridade das suas redes.