CRITICAL✓ PATCH🇬🇧 English

CVE-2025-27690

Dell PowerScale OneFS — przejęcie konta przez domyślne hasło

CVSS 9.8v3.1pub. 2025-04-10upd. 2025-07-11

Dell PowerScale OneFS w wersjach 9.5.0.0–9.10.1.0 zawiera podatność polegającą na używaniu domyślnego hasła dla konta o wysokich uprawnieniach. Nieuwierzytelniony atakujący zdalnie może przejąć kontrolę nad tym kontem bez żadnych dodatkowych warunków wstępnych.

Pokaż oryginał (EN)

Dell PowerScale OneFS, versions 9.5.0.0 through 9.10.1.0, contains a use of default password vulnerability. An unauthenticated attacker with remote access could potentially exploit this vulnerability, leading to the takeover of a high privileged user account.

🤖 Analiza AI
Jak działa

Podatność (CWE-1393) polega na tym, że system pozostawia aktywne konto uprzywilejowane z domyślnym, niezmienianym hasłem. Atakujący z dostępem sieciowym może uwierzytelnić się przy użyciu tego domyślnego hasła, omijając w ten sposób wszelkie mechanizmy kontroli dostępu. Brak wymogu interakcji użytkownika ani szczególnych warunków środowiskowych sprawia, że atak jest prosty do przeprowadzenia na dużą skalę.

Skutki

Atakujący może całkowicie przejąć konto użytkownika o wysokich uprawnieniach, co w praktyce oznacza pełną kontrolę nad środowiskiem Dell PowerScale OneFS — w tym dostęp do przechowywanych danych, możliwość ich modyfikacji lub usunięcia oraz destabilizację usług.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (DSA-2025-119). Dodatkowo zaleca się natychmiastową zmianę domyślnych haseł na wszystkich kontach uprzywilejowanych oraz ograniczenie dostępu sieciowego do interfejsów zarządzania systemem.

Kogo dotyczy

Dell PowerScale OneFS w wersjach od 9.5.0.0 do 9.10.1.0 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dell Powerscale Onefs

    APP
    Dell
    9.5.0.0 – 9.10.1.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-53298CRITICAL9.8PL ✓ten sam produkt

Brak autoryzacji w NFS export — Dell PowerScale OneFS (Auth Bypass)

CVE-2022-31229CRITICAL9.6ten sam produkt

Dell PowerScale OneFS, 8.2.x through 9.3.0.x, contain an error message with sensitive information. An administ...

CVE-2026-22278HIGH8.1ten sam produkt

Dell PowerScale OneFS versions prior to 9.13.0.0 contains an improper restriction of excessive authentication ...

CVE-2025-26481HIGH7.5ten sam produkt

Dell PowerScale OneFS, versions 9.4.0.0 through 9.9.0.0, contains an uncontrolled resource consumption vulnera...

CVE-2025-26330HIGH7.0ten sam produkt

Dell PowerScale OneFS, versions 9.4.0.0 through 9.10.0.1, contains an incorrect authorization vulnerability. A...