São Paulo — InkDesign News —
A Commvault enfrenta controvérsias em torno de uma vulnerabilidade de alta severidade, identificada como CVE-2025-34028, que afeta sua interface de gerenciamento baseada na web. A falha, classificada com um CVSS de 10.0, permite a execução remota de códigos maliciosos.
Vetor de ataque
A vulnerabilidade CVE-2025-34028 é uma falha de solicitação forjada do lado do servidor (SSRF) que ocorre antes da autenticação, possibilitando a um invasor comprometer completamente um ambiente do Command Center da Commvault. A falha impacta as versões de 11.38.0 a 11.38.19 tanto do Windows quanto do Linux.
Commvault já divulgou uma correção, disponibilizada nas versões 11.38.20 e 11.38.25 do software, após a descoberta da falha por pesquisadores do laboratório watchTowr.
Impacto e resposta
Num comunicado à Dark Reading, o porta-voz da Commvault, Ross Camp, questionou a validade das afirmações do pesquisador Will Dormann, que alegou que a exploração da falha era eficaz mesmo nas versões atualizadas do software. Camp afirmou que “o pesquisador não estava testando em uma versão corrigida” (“This was not a situation where the patch didn’t work; it’s a situation where the researcher was not testing on a patched version.”)
“Acreditamos que é importante destacar que as informações corretas estavam disponíveis antes da postagem deste pesquisador”
(“However, we think it’s important to note that the correct information was available prior to this security researcher’s post”)— Ross Camp, Porta-voz, Commvault
Após discussões com a Commvault, Dormann reconheceu que ele não tinha acesso a atualizações já disponíveis para sistemas que não estavam registrados, uma situação que afetava usuários de VMs no Azure e AWS.
Análise e recomendações
Os usuários que adotaram a versão 11.38 por meio de plataformas de nuvem não conseguiram ver as atualizações disponíveis do patch, que agora são acessíveis via um processo de download manual. É essencial que os usuários verifiquem as atualizações adicionais instaladas para garantir a proteção contra a vulnerabilidade.
Commvault introduziu mudanças em sua plataforma para garantir que todos os usuários, incluindo aqueles em testes gratuitos, possam acessar atualizações críticas. Usuários devem estar cientes de que a versão do software por si só não é indicativa de vulnerabilidade, e a verificação das atualizações adicionais instaladas é imprescindível.
Essa situação ressalta a importância do registro correto e da comunicação efetiva entre provedores de software e usuários, especialmente em um cenário de ameaças cibernéticas crescentes. A indústria deve agir para evitar situações similares e garantir que todos os usuários estejam cientes das atualizações de segurança necessárias.
Fonte: Dark Reading – Segurança Cibernética
