# CVE-2025-34026 - Versa Concerto SD-WAN Authentication Bypass (CVSS 9.2) > [!danger] CVSS: 9.2 (Crítico) · EPSS: 92° percentil · Vendor: Versa Networks · CISA KEV: Sim (2026-01-22) · Prazo: 2026-02-12 (VENCIDO) ## Visão Geral Conteúdo a ser adicionado - nota referênciada pelo feed CTI. ## Resumo Técnico **CVE-2025-34026** é uma vulnerabilidade crítica de **autenticação inadequada** na plataforma de orquestração SD-WAN **[[Versa Concerto]]** da Versa Networks. A falha existe em uma má configuração do **proxy reverso Traefik**, permitindo que atacantes remotos não autenticados acessem endpoints administrativos internos, incluindo o endpoint `/actuator` (Spring Boot Actuator), que expõe heap dumps, trace logs e informações sensíveis de configuração. A vulnerabilidade pode ser encadeada com **[[cve-2025-34025|CVE-2025-34025]]** e **[[cve-2025-34027|CVE-2025-34027]]** para obter execução remota de código e escape de container, tornando-a parte de uma cadeia crítica de exploração. **Pontuação de risco:** - CVSS v4.0: **9.2** (Crítico) per VulnCheck; CVSSv3.1: 7.5 - EPSS: **8.12%** - 92° percentil de exploração - CISA KEV: **adicionado em 2026-01-22** - prazo: 2026-02-12 (vencido) - Exploração ativa: **confirmada** ## Exploração A vulnerabilidade decorre de como o Traefik (proxy reverso usado pelo Concerto) processa URLs contendo ponto-e-vírgula (`;`). O Traefik trata `;` como separador de parâmetros de matriz de caminho, permitindo que rotas protegidas sejam acessadas com caminhos manipulados que o sistema de autenticação não reconhece como protegidos. **Exemplo de bypass:** ``` # Rota protegida (bloqueada normalmente): GET /admin/actuator/heapdump # Rota com bypass via semicolon injection: GET /admin;anything/actuator/heapdump ``` **Informações expostas via `/actuator`:** - `heapdump`: dump completo da memória heap Java (pode conter credenciais, tokens, dados de sessão) - `httptrace` / `mappings`: rastreamento de requisições HTTP recentes - `env`: variáveis de ambiente (potencialmente com segredos) **Encadeamento para RCE:** Em combinação com CVE-2025-34025 (injeção de template) e CVE-2025-34027, a cadeia permite execução de código e escape do container Docker para o host subjacente. ## Impacto - **Exposição de credenciais e tokens:** heap dumps podem conter senhas, tokens de API e chaves de sessão em memória - **Mapeamento da infraestrutura SD-WAN:** acesso a informações de configuração de toda a malha SD-WAN - **Potencial RCE via cadeia:** encadeamento com CVE-2025-34025/34027 resulta em controle total do orchestrator - **Comprometimento da rede WAN:** o orquestrador Concerto controla roteamento e políticas de toda a malha SD-WAN > [!latam] Relevância LATAM/Brasil > SD-WAN da Versa tem adoção crescente em operadoras e grandes empresas brasileiras que operam redes distribuídas. Setores como telecomúnicações, serviços financeiros com agências regionais e governo com unidades distribuídas são os principais usuários de Versa Concerto no Brasil. O comprometimento do orquestrador pode impactar toda a malha SD-WAN de uma organização, oferecendo ao atacante visibilidade sobre políticas de roteamento e segmentação de rede em escala nacional. Organizações brasileiras devem priorizar a aplicação dos patches CVE-2025-34026, CVE-2025-3402, CVE-2025-34025 e CVE-2025-34027 como parte de um único ciclo de remediação urgente. ## Mitigação **Mitigações aplicar imediatamente:** - **Bloquear semicolons (`;`) em caminhos de URL** nas regras de WAF/firewall na frente do Concerto - **Filtrar o header `Connection`** para prevenir header injection - Consultar o [advisory oficial da Versa Networks](https://security-portal.versa-networks.com/emailbulletins/6830f94328defa375486ff2e) para mitigações específicas - Desabilitar endpoints do Spring Boot Actuator não necessários - Aplicar atualização para versões corrigidas (consultar vendor para versão exata) **Verificação de comprometimento:** - Verificar logs de acesso do Traefik para requisições com `;` nos paths - Inspecionar heap dumps para credenciais expostas - Revisar contas de acesso ao Concerto ## Notas Relacionadas **CVEs relacionados (mesma cadeia):** [[cve-2025-34025|CVE-2025-34025]] · [[cve-2025-34027|CVE-2025-34027]] **Produto:** [[Versa Concerto SD-WAN]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1078-valid-accounts|T1552 - Unsecured Credentials]] · [[t1018-remote-system-discovery|T1046 - Network Service Discovery]] **Setores em risco:** [[telecomunicações]] · [[financial]] · [[critical-infrastructure]]