A Agência de Cibersegurança e Infraestrutura dos EUA (CISA) adicionou duas falhas críticas de segurança ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), após identificar que estão sendo ativamente exploradas. Os problemas afetam os sistemas Broadcom Brocade Fabric OS e o servidor web da Commvault.
A primeira vulnerabilidade, identificada como CVE-2025-1976 (pontuação CVSS: 8.6), permite que um usuário local com privilégios administrativos injete código malicioso e execute comandos como root no Fabric OS. Essa falha afeta as versões 9.1.0 até 9.1.1d6 e foi corrigida na 9.1.1d7. Segundo a Broadcom, a falha decorre de uma validação incorreta de endereços IP, permitindo a execução de qualquer comando do sistema ou até a modificação do próprio sistema operacional.
Já a falha CVE-2025-3928 (CVSS: 8.7) impacta o servidor web da Commvault. Ela permite que um invasor remoto, com credenciais válidas, crie e execute web shells. A Commvault esclarece que a falha não pode ser explorada por usuários não autenticados. Para ser explorada, o ambiente precisa estar acessível pela internet e já ter sido comprometido por outros meios. As versões afetadas vão das séries 11.20.0 a 11.36.45 do software, com correções já disponíveis. Embora a natureza das explorações ainda não tenha sido detalhada, a CISA recomenda que agências do governo federal apliquem os patches até 17 de maio para o Commvault e até 19 de maio para o Broadcom Fabric OS.
