戴尔督促修复 PowerProtect 产品中的多个高危漏洞
2023-12-15 17:30:13 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

戴尔正在督促 PowerProtect 产品的客户查看最新发布的安全公告并修复一系列潜在的严重漏洞。

这些漏洞影响 PowerProtect Data Domain (DD) 系列设备。这些设备旨在帮助组织机构披露保护、管理和恢复数据。APEX Protect Storage、PowerProtect DD Management Center、PowerProtect DP 系列设备以及 PowerProtect Data Manager 设备也受影响。

从CVSS评分来看,最严重的是CVE-2023-44268(CVSS评分8.8),它是一个基于DOM的XSS漏洞,可导致远程未认证攻击者将恶意代码注入目标用户的浏览器中。

利用这些漏洞可导致客户端请求伪造、会话盗取和信息泄露。虽然戴尔在公告中并未明确说明,但利用这些漏洞通常需要攻击者诱骗受害者点击恶意链接。其它一些漏洞被标记为“高危”,包括OS命令注入和访问控制不当等。漏洞注入漏洞可用于在底层操作系统执行任意命令,并可导致攻击者接管目标系统。虽然利用漏洞需要本地访问权限以及低权限或提升后的权限,但攻击者可利用漏洞如CVE-2023-44286实现认证要求。

认证攻击者可利用 PowerProtect 产品中的三个中危漏洞绕过安全限制并接管系统、获得对OS文件的读写权限,并在该应用的后端数据库上执行任意SQL命令并获得对 app 数据的读权限。

戴尔公司在一份声明中提到,“戴尔科技发布了对影响某些戴尔 PowerProtect Data Domain 产品的漏洞的修复方案。我们建议客户立即查看并实现戴尔安全公告 (DSA-20230412) 中提到的修复措施,修复受影响的产品、版本和其它信息。产品安全始终是公司的第一优先级,且对客户安全至关重要。”戴尔表示已迅速着手修复该漏洞,目前尚未看到遭利用的证据。

值得注意的是,戴尔的产品漏洞一直都遭复杂威胁行动者的利用。

近期,戴尔通知客户称 PowerEdge Server BIOS 中存在一个高危的提权漏洞,PowerMax 和 Unisphere 产品中存在数十个漏洞,以及VxRail Manager 的第三方组件中存在数十个漏洞。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

戴尔 Compellent 硬编码密钥暴露 VMware vCenter 管理员凭据

戴尔、惠普等设备被指使用过期的OpenSSL版本,易引发供应链攻击

戴尔BIOS 爆多个高危漏洞,影响Inspiron 等数百万系统

数百万戴尔设备遭 BIOSConnect 代码执行漏洞影响

戴尔修复已存在12年之久的驱动漏洞,影响数百万个人电脑

原文链接
https://www.securityweek.com/dell-urges-customers-to-patch-vulnerabilities-in-powerprotect-products/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518385&idx=3&sn=773523c059ebc05375af3728b507f7b2&chksm=ea94b9dbdde330cd00590f64f843a315b75b337718d83c77e37577b490588dc241da9064f081&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh