This post is also available in: Português
A vulnerabilidade CVE-2025-34028 é uma falha crítica de segurança descoberta no Commvault Command Center, um componente amplamente utilizado em soluções de backup e recuperação de dados empresariais.
Classificada com a pontuação máxima no CVSS (10.0), essa falha combina duas exposições graves: ausência de autenticação em funções críticas e uma falha de travessia de diretório (path traversal), permitindo que invasores explorem o sistema remotamente sem necessidade de credenciais válidas.
Produtos afetados e escopo da falha
A vulnerabilidade afeta versões do Commvault Command Center e Web Console até a versão 11.32.54. Commvault confirmou que versões mais recentes (a partir da 11.32.55) contêm as correções necessárias. Como esses componentes são essenciais para a interface de administração de ambientes de backup, uma exploração bem-sucedida pode comprometer completamente os sistemas de armazenamento e gerenciamento de dados corporativos.
Como a CVE-2025-34028 funciona
A exploração da falha é possível devido a duas falhas principais: a primeira é a falta de autenticação para funções críticas (CWE-306), e a segunda é a ausência de validação adequada dos caminhos de arquivos fornecidos pelo usuário (CWE-22). Juntas, essas falhas permitem que um invasor não autenticado envie requisições manipuladas via HTTP para acessar ou sobrescrever arquivos arbitrários no servidor.
A equipe da watchTowr Labs demonstrou publicamente como essas vulnerabilidades podem ser combinadas para alcançar a execução remota de código (RCE). Em sua análise técnica, foi revelado que é possível carregar scripts maliciosos em locais estratégicos do servidor e então executá-los, comprometendo totalmente o sistema afetado.
Gravidade e impacto
A pontuação CVSS de 10.0 reflete a criticidade extrema da CVE-2025-34028. A exploração é trivial para atacantes com conhecimento básico das interfaces afetadas, e o impacto pode ser devastador: além do comprometimento de dados, há risco de movimentação lateral na rede e controle total da infraestrutura de backup.
Além disso, a falha já está sendo explorada ativamente por cibercriminosos. Por isso, ela foi adicionada ao catálogo de vulnerabilidades exploradas ativamente pela em 2 de maio de 2025, com exigência de correção imediata para órgãos federais.
Resposta e mitigação
A Commvault publicou um comunicado oficial recomendando a atualização urgente para as versões corrigidas (11.32.55 ou superior) e orientando sobre a desativação de serviços expostos publicamente enquanto a atualização não for aplicada. Além disso, empresas devem revisar logs de acesso e verificar possíveis indícios de comprometimento, dado o histórico de exploração ativa.
É importante ressaltar que não existe uma mitigação alternativa eficaz além da aplicação do patch. Como o vetor de ataque não exige autenticação e é explorável via rede, o tempo de resposta é crucial para reduzir riscos.
This post is also available in: Português
