CommVault CVE-2025-34028 agregado a CISA KEV después de la explotación activa confirmada

05 de mayo de 2025Ravie LakshmananVulnerabilidad / día cero

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) tiene agregado Un defecto de seguridad máxima que impacta el Centro de Comando CommVault a su conocido catálogo de vulnerabilidades explotadas (KEV), poco más de una semana después de que se revelara públicamente.

La vulnerabilidad en cuestión es CVE-2025-34028 (puntaje CVSS: 10.0), un error transversal de ruta que afecta 11.38 la liberación de innovación, desde las versiones 11.38.0 a 11.38.19. Se ha abordado en las versiones 11.38.20 y 11.38.25.

“El Centro de comando CommVault contiene una vulnerabilidad transversal de ruta que permite que un atacante remoto y no autenticado ejecute código arbitrario”, CISA dicho.

La falla esencialmente permite que un atacante cargue archivos zip que, cuando se descompriman en el servidor de destino, podrían dar lugar a la ejecución de código remoto.

La compañía de seguridad cibernética WatchToWr Labs, que se le atribuyó el descubrimiento e informar el error, dijo que el problema reside en un punto final llamado “implementwebpackage.do” que desencadena un falsificador de solicitud del lado de servidor preautenticado (SSRF), que finalmente resulta en una ejecución de código cuando se usa un archivo de archivo ZIP que contiene un archivo Malcio Malicioso .jsp .jsp.

Actualmente no se sabe en qué contexto se está explotando la vulnerabilidad, pero el desarrollo hace que el segundo defecto de CommVault sea armado en ataques del mundo real después de CVE-2025-3928 (puntaje CVSS: 8.7), un problema no especificado en el servidor web CommVault que permite a un atacante remoto y autenticado para crear y ejecutar frasillos web.

La compañía reveló la semana pasada que la actividad de explotación afectó a un pequeño número de clientes, pero señaló que no ha habido acceso no autorizado a los datos de copia de seguridad del cliente.

A la luz de la explotación activa de CVE-2025-34028, las agencias federales de rama ejecutiva civil (FCEB) deben aplicar los parches necesarios para el 23 de mayo de 2025, para asegurar sus redes.