La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha junto un defecto de seguridad de la severidad máxima que impacta el Centro de Comando CommVault a su conocido catálogo de vulnerabilidades explotadas (KEV), poco más de una semana luego de que se revelara públicamente.
La vulnerabilidad en cuestión es CVE-2025-34028 (puntaje CVSS: 10.0), un error transversal de ruta que afecta 11.38 la emancipación de innovación, desde las versiones 11.38.0 a 11.38.19. Se ha abordado en las versiones 11.38.20 y 11.38.25.
«Commvault Command Center contiene una vulnerabilidad transversal de ruta que permite que un atacante remoto y no autenticado ejecute un código injusto», dijo CISA.
La falta esencialmente permite que un atacante cargue archivos zip que, cuando se descompriman en el servidor de destino, podrían dar circunscripción a la ejecución de código remoto.
La compañía de seguridad cibernética WatchToWr Labs, que se le atribuyó el descubrimiento e informar el error, dijo que el problema reside en un punto final llamado «implementwebpackage.do» que desencadena un falsificador de solicitud del flanco de servidor preautenticado (SSRF), que finalmente resulta en una ejecución de código cuando se usa un archivo de archivo ZIP que contiene un archivo Malcio Pillo .jsp .jsp.
Actualmente no se sabe en qué contexto se está explotando la vulnerabilidad, pero el ampliación hace que el segundo defecto de CommVault sea armado en ataques del mundo auténtico luego de CVE-2025-3928 (puntaje CVSS: 8.7), un problema no especificado en el servidor web CommVault que permite a un atacante remoto y autenticado para crear y ejecutar frasillos web.
La compañía reveló la semana pasada que la actividad de explotación afectó a un pequeño número de clientes, pero señaló que no ha habido golpe no acreditado a los datos de copia de seguridad del cliente.
A la luz de la explotación activa de CVE-2025-34028, las agencias federales de rama ejecutiva civil (FCEB) deben aplicar los parches necesarios para el 23 de mayo de 2025, para estabilizar sus redes.
