Dell PowerProtect Data Domain z systemem operacyjnym DD OS zawiera podatność umożliwiającą nieuwierzytelnionym atakującym ominięcie mechanizmów uwierzytelnienia poprzez spoofing. Luka jest krytyczna (CVSS 9.8) — nie wymaga żadnych uprawnień ani interakcji użytkownika, a dostęp możliwy jest zdalnie przez sieć.
▸ Pokaż oryginał (EN)
Dell PowerProtect Data Domain with Data Domain Operating System (DD OS) of Feature Release versions 7.7.1.0 through 8.3.0.15, LTS2024 release Versions 7.13.1.0 through 7.13.1.25, LTS 2023 release versions 7.10.1.0 through 7.10.1.60, contain an Authentication Bypass by Spoofing vulnerability. An unauthenticated attacker with remote access could potentially exploit this vulnerability, leading to Protection mechanism bypass. Remote unauthenticated user can create account that potentially expose customer info, affect system integrity and availability.
Podatność sklasyfikowana jako CWE-290 (Authentication Bypass by Spoofing) polega na tym, że mechanizm uwierzytelnienia systemu DD OS może zostać obejśty przez podszycie się pod uprawniony podmiot. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę lukę do stworzenia nowego konta w systemie bez posiadania jakichkolwiek wcześniejszych uprawnień. Skutkuje to całkowitym ominięciem mechanizmów ochronnych systemu.
Atakujący może utworzyć nieuprawnione konto w systemie, co prowadzi do potencjalnego ujawnienia danych klientów, naruszenia integralności systemu oraz obniżenia jego dostępności.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach poprawionych dostępne są w biuletynie bezpieczeństwa Dell DSA-2025-159 pod adresem: https://www.dell.com/support/kbdoc/en-us/000348708/dsa-2025-159-security-update-for-dell-powerprotect-data-domain-multiple-vulnerabilities
Dell PowerProtect Data Domain z DD OS w następujących wersjach: Feature Release 7.7.1.0–8.3.0.15, LTS2024 7.13.1.0–7.13.1.25, LTS2023 7.10.1.0–7.10.1.60
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDell Data Domain Operating System
OSDell7.7.1.0 – 7.10.1.70 (bez)7.13.1.0 – 7.13.1.30 (bez)8.0.0.0 – 8.3.1.0 (bez)
Powiązane podatności
Dell PowerProtect Data Domain with Domain Operating System (DD OS) of Feature Release versions 7.7.1.0 through...
Dell PowerProtect Data Domain, versions 7.7.1.0 through 8.6, LTS2025 release version 8.3.1.0 through 8.3.1.20,...
Dell PowerProtect Data Domain with Data Domain Operating System (DD OS) of Feature Release versions 7.7.1.0 th...
Dell PowerProtect Data Domain, versions 7.7.1.0 through 8.6, LTS2025 release version 8.3.1.0 through 8.3.1.20,...
Dell PowerProtect Data Domain, versions 8.5 through 8.6 contain an improper input validation vulnerability. A ...