戴尔正在向 PowerProtect DD 产品客户通报 8 个漏洞,其中许多漏洞被评为“高严重性”,并敦促他们安装补丁。
漏洞影响 PowerProtect Data Domain (DD) 系列设备,这些设备旨在帮助组织大规模保护、管理和恢复数据。 APEX Protect Storage、PowerProtect DD Management Center、PowerProtect DP 系列设备和 PowerProtect Data Manager 设备也受到影响。
最严重的缺陷是 CVE-2023-44286(CVSS 得分为 8.8),被描述为基于 DOM 的跨站点脚本 (XSS) 问题,允许未经身份验证的远程攻击者将恶意代码注入目标用户的浏览器。
利用该漏洞可能会导致客户端请求伪造、会话盗窃和信息泄露。虽然戴尔的通报中没有具体说明,但利用这些类型的缺陷通常涉及攻击者诱骗受害者点击恶意链接。
其他几个漏洞已被授予“高严重性”评级,包括操作系统命令注入和不当访问控制缺陷。
命令注入错误可被利用以利用易受攻击的权限在底层操作系统上执行任意命令,并且它们可能允许攻击者接管目标系统。
利用该漏洞需要本地访问权限以及较低或较高的权限。但是,攻击者有可能利用 CVE-2023-44286 等漏洞来实现身份验证要求。
PowerProtect 产品中发现的三个中等严重性缺陷可被经过身份验证的攻击者利用,绕过安全限制并接管系统,获得对操作系统文件的读写访问权限,并在应用程序的后端数据库上执行任意 SQL 命令并获得读取访问权限到应用程序数据。
“Dell Technologies 发布了针对影响某些 Dell PowerProtect Data Domain 产品的漏洞的修复措施。我们鼓励客户立即查看并实施戴尔安全通报 (DSA-2023-412) 中针对受影响的产品、版本和其他信息的补救步骤。我们产品的安全性是重中之重,对于保护我们的客户至关重要。”戴尔在 SecurityWeek 分享的一份声明中表示。
该公司表示,它已迅速修复了该漏洞,目前尚未发现任何活跃的利用情况。
值得注意的是,已知戴尔产品漏洞已被复杂的威胁行为者利用进行攻击。
戴尔最近还向客户通报了PowerEdge服务器BIOS中存在高严重性权限升级漏洞,PowerMax 和 Unisphere 产品,以及影响 VxRail Manager 第三方组件的数十个漏洞。
发表评论
您还未登录,请先登录。
登录