CRITICAL✓ PATCH🇬🇧 English

CVE-2024-53298

Brak autoryzacji w NFS export — Dell PowerScale OneFS (Auth Bypass)

CVSS 9.8v3.1pub. 2025-06-20upd. 2025-07-11

Dell PowerScale OneFS w wersjach od 9.5.0.0 do 9.10.0.1 zawiera podatność braku autoryzacji w mechanizmie eksportu NFS. Nieuwierzytelniony atakujący zdalnie może uzyskać nieautoryzowany dostęp do systemu plików, co może prowadzić do pełnego przejęcia systemu.

Pokaż oryginał (EN)

Dell PowerScale OneFS, versions 9.5.0.0 through 9.10.0.1, contains a missing authorization vulnerability in the NFS export. An unauthenticated attacker with remote access could potentially exploit this vulnerability leading to unauthorized filesystem access. The attacker may be able to read, modify, and delete arbitrary files. This vulnerability is considered critical as it can be leveraged to fully compromise the system. Dell recommends customers to upgrade at the earliest opportunity.

🤖 Analiza AI
Jak działa

Podatność wynika z brakującej kontroli autoryzacji (CWE-862) w obsłudze eksportów NFS. Atakujący bez żadnych poświadczeń, mający jedynie zdalny dostęp sieciowy do urządzenia, może pominąć mechanizmy uwierzytelniania i uzyskać dostęp do zasobów systemu plików eksportowanych przez NFS. Wektor ataku nie wymaga interakcji użytkownika ani podwyższonych uprawnień, co czyni exploit szczególnie łatwym do przeprowadzenia.

Skutki

Atakujący może bez autoryzacji odczytywać, modyfikować oraz usuwać dowolne pliki w systemie plików, co według producenta może prowadzić do pełnego przejęcia systemu (full system compromise).

Mitygacja

Należy jak najszybciej zaktualizować Dell PowerScale OneFS do wersji nieobarczonej podatnością zgodnie z wytycznymi producenta zawartymi w biuletynie DSA-2025-208 dostępnym pod adresem: https://www.dell.com/support/kbdoc/en-us/000326339/dsa-2025-208-security-update-for-dell-powerscale-onefs-for-multiple-security-vulnerabilities. Dell wyraźnie zaleca przeprowadzenie aktualizacji w najwcześniejszym możliwym terminie.

Kogo dotyczy

Dell PowerScale OneFS w wersjach od 9.5.0.0 do 9.10.0.1 włącznie.

Uwagi

Podatność dotyczy wyłącznie środowisk, w których eksport NFS jest dostępny z sieci. Warto zweryfikować reguły firewalla ograniczające dostęp do portów NFS jako tymczasowy środek zaradczy do czasu wdrożenia patcha.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dell Powerscale Onefs

    APP
    Dell
    9.5.0.0 – 9.10.0.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-27690CRITICAL9.8PL ✓ten sam produkt

Dell PowerScale OneFS — przejęcie konta przez domyślne hasło

CVE-2022-31229CRITICAL9.6ten sam produkt

Dell PowerScale OneFS, 8.2.x through 9.3.0.x, contain an error message with sensitive information. An administ...

CVE-2026-22278HIGH8.1ten sam produkt

Dell PowerScale OneFS versions prior to 9.13.0.0 contains an improper restriction of excessive authentication ...

CVE-2025-26481HIGH7.5ten sam produkt

Dell PowerScale OneFS, versions 9.4.0.0 through 9.9.0.0, contains an uncontrolled resource consumption vulnera...

CVE-2025-26330HIGH7.0ten sam produkt

Dell PowerScale OneFS, versions 9.4.0.0 through 9.10.0.1, contains an incorrect authorization vulnerability. A...