Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan cacat keamanan maksimum-kepemilikan yang berdampak pada Pusat Komando CommVault ke katalog kerentanan yang diketahui (KEV) yang diketahui, sedikit lebih dari seminggu setelah diungkapkan kepada publik.
Kerentanan yang dimaksud adalah CVE-2025-34028 (skor CVSS: 10.0), bug jalur traversal yang mempengaruhi 11.38 rilis inovasi, dari versi 11.38.0 hingga 11.38.19. Ini telah ditangani dalam versi 11.38.20 dan 11.38.25.
“Pusat Komando CommVault berisi kerentanan jalur traversal yang memungkinkan penyerang jarak jauh dan tidak otomatis untuk menjalankan kode sewenang -wenang,” kata Cisa.
Cacat pada dasarnya memungkinkan penyerang untuk mengunggah file zip yang, ketika didekompresi pada server target, dapat menghasilkan eksekusi kode jarak jauh.
Perusahaan Cybersecurity Watchtowr Labs, yang dikreditkan dengan menemukan dan melaporkan bug itu, mengatakan masalahnya berada di titik akhir yang disebut “DeployWebPackage.do” yang memicu pemalsuan permintaan sisi server pra-authentikasi (SSRF), pada akhirnya menghasilkan eksekusi kode ketika menggunakan arsip zip yang mengandung file.
Saat ini tidak diketahui dalam konteks apa kerentanan yang dieksploitasi, tetapi pengembangan menjadikannya cacat Commvault kedua yang dipersenjatai dalam serangan dunia nyata setelah CVE-2025-3928 (skor CVSS: 8.7), sebuah eksekusi yang tidak ditentukan di server Web Commvault yang memungkinkan penyerang remote, otentikasi yang otentikasi.
Perusahaan mengungkapkan minggu lalu bahwa kegiatan eksploitasi mempengaruhi sejumlah kecil pelanggan tetapi mencatat bahwa belum ada akses yang tidak sah ke data cadangan pelanggan.
Mengingat eksploitasi aktif CVE-2025-34028, agensi Cabang Eksekutif Sipil Federal (FCEB) diharuskan menerapkan tambalan yang diperlukan pada 23 Mei 2025, untuk mengamankan jaringan mereka.
