La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha auxiliar un defecto de seguridad de la severidad máxima que impacta el Centro de Comando CommVault a su conocido catálogo de vulnerabilidades explotadas (KEV), poco más de una semana a posteriori de que se revelara públicamente.
La vulnerabilidad en cuestión es CVE-2025-34028 (puntaje CVSS: 10.0), un error transversal de ruta que afecta 11.38 la libramiento de innovación, desde las versiones 11.38.0 a 11.38.19. Se ha abordado en las versiones 11.38.20 y 11.38.25.
“Commvault Command Center contiene una vulnerabilidad transversal de ruta que permite que un atacante remoto y no autenticado ejecute un código gratuito”, dijo CISA.
La defecto esencialmente permite que un atacante cargue archivos zip que, cuando se descompriman en el servidor de destino, podrían dar empleo a la ejecución de código remoto.
La compañía de seguridad cibernética WatchToWr Labs, que se le atribuyó el descubrimiento e informar el error, dijo que el problema reside en un punto final llamado “implementwebpackage.do” que desencadena un falsificador de solicitud del costado de servidor preautenticado (SSRF), que finalmente resulta en una ejecución de código cuando se usa un archivo de archivo ZIP que contiene un archivo Malcio Astuto .jsp .jsp.
Actualmente no se sabe en qué contexto se está explotando la vulnerabilidad, pero el incremento hace que el segundo defecto de CommVault sea armado en ataques del mundo actual a posteriori de CVE-2025-3928 (puntaje CVSS: 8.7), un problema no especificado en el servidor web CommVault que permite a un atacante remoto y autenticado para crear y ejecutar frasillos web.
La compañía reveló la semana pasada que la actividad de explotación afectó a un pequeño número de clientes, pero señaló que no ha habido entrada no calificado a los datos de copia de seguridad del cliente.
A la luz de la explotación activa de CVE-2025-34028, las agencias federales de rama ejecutiva civil (FCEB) deben aplicar los parches necesarios para el 23 de mayo de 2025, para consolidar sus redes.
