聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些漏洞影响 PowerProtect Data Domain (DD) 系列设备。这些设备旨在帮助组织机构披露保护、管理和恢复数据。APEX Protect Storage、PowerProtect DD Management Center、PowerProtect DP 系列设备以及 PowerProtect Data Manager 设备也受影响。
从CVSS评分来看,最严重的是CVE-2023-44268(CVSS评分8.8),它是一个基于DOM的XSS漏洞,可导致远程未认证攻击者将恶意代码注入目标用户的浏览器中。
利用这些漏洞可导致客户端请求伪造、会话盗取和信息泄露。虽然戴尔在公告中并未明确说明,但利用这些漏洞通常需要攻击者诱骗受害者点击恶意链接。其它一些漏洞被标记为“高危”,包括OS命令注入和访问控制不当等。漏洞注入漏洞可用于在底层操作系统执行任意命令,并可导致攻击者接管目标系统。虽然利用漏洞需要本地访问权限以及低权限或提升后的权限,但攻击者可利用漏洞如CVE-2023-44286实现认证要求。
认证攻击者可利用 PowerProtect 产品中的三个中危漏洞绕过安全限制并接管系统、获得对OS文件的读写权限,并在该应用的后端数据库上执行任意SQL命令并获得对 app 数据的读权限。
戴尔公司在一份声明中提到,“戴尔科技发布了对影响某些戴尔 PowerProtect Data Domain 产品的漏洞的修复方案。我们建议客户立即查看并实现戴尔安全公告 (DSA-20230412) 中提到的修复措施,修复受影响的产品、版本和其它信息。产品安全始终是公司的第一优先级,且对客户安全至关重要。”戴尔表示已迅速着手修复该漏洞,目前尚未看到遭利用的证据。
值得注意的是,戴尔的产品漏洞一直都遭复杂威胁行动者的利用。
近期,戴尔通知客户称 PowerEdge Server BIOS 中存在一个高危的提权漏洞,PowerMax 和 Unisphere 产品中存在数十个漏洞,以及VxRail Manager 的第三方组件中存在数十个漏洞。
戴尔 Compellent 硬编码密钥暴露 VMware vCenter 管理员凭据
戴尔、惠普等设备被指使用过期的OpenSSL版本,易引发供应链攻击
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~