A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade crítica CVE-2025-34028 ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após confirmação de exploração ativa. A falha, com pontuação CVSS de 10.0, afeta as versões 11.38.0 a 11.38.19 do Commvault Command Center Innovation Release e foi corrigida nas versões 11.38.20 e 11.38.25. A

vulnerabilidade permite que um invasor remoto e não autenticado execute código arbitrário no servidor alvo. Isso é possível através do upload de arquivos ZIP maliciosos que, ao serem descompactados, resultam em execução remota de código. Profissionais de cibersegurança identificaram que o problema reside no endpoint “deployWebpackage.do”, que pode ser explorado para realizar um Server-Side Request Forgery (SSRF) pré-autenticado, levando à execução de código ao utilizar um arquivo ZIP contendo um arquivo .JSP malicioso.

Embora o contexto exato da exploração ainda não seja totalmente conhecido, esta é a segunda falha no Commvault explorada em ataques reais, após a CVE-2025-3928, que permite a criação e execução de web shells por atacantes autenticados. A empresa informou que a atividade de exploração afetou um pequeno número de clientes, mas não houve acesso não autorizado aos dados de backup. Diante da exploração ativa da CVE-2025-34028, agências federais dos EUA devem aplicar os patches necessários até 23 de maio de 2025 para proteger suas redes.