Dell ECS oraz Dell ObjectScale zawierają zakodowane na stałe w kodzie źródłowym dane uwierzytelniające (hard-coded credentials), co sklasyfikowano jako CWE-798. Podatność umożliwia nieuwierzytelnionemu atakującemu posiadającemu lokalny dostęp do systemu uzyskanie dostępu do systemu plików urządzenia.
▸ Pokaż oryginał (EN)
Dell ECS versions 3.8.1.0 through 3.8.1.7 and Dell ObjectScale versions prior to 4.3.0.0, contains a use of hard-coded credentials vulnerability. An unauthenticated attacker with local access could potentially exploit this vulnerability, leading to filesystem access for attacker.
Producent zakodował na stałe dane uwierzytelniające (np. hasło lub klucz) bezpośrednio w oprogramowaniu, bez możliwości ich zmiany przez administratora. Atakujący z lokalnym dostępem do systemu może wykorzystać te znane poświadczenia do uwierzytelnienia się w komponencie bez posiadania legalnych uprawnień. W efekcie uzyskuje dostęp do systemu plików urządzenia, omijając standardowe mechanizmy kontroli dostępu.
Atakujący może uzyskać nieautoryzowany dostęp do systemu plików, co może prowadzić do odczytu poufnych danych, modyfikacji plików konfiguracyjnych lub naruszenia integralności i poufności przechowywanych danych.
Należy zaktualizować Dell ECS do wersji wyższej niż 3.8.1.7 oraz Dell ObjectScale do wersji 4.3.0.0 lub nowszej zgodnie z zaleceniami producenta opisanymi w biuletynie DSA-2026-047 dostępnym pod adresem: https://www.dell.com/support/kbdoc/en-us/000462117/
Dell ECS w wersjach od 3.8.1.0 do 3.8.1.7 włącznie oraz Dell ObjectScale w wersjach wcześniejszych niż 4.3.0.0.
Podatność wymaga lokalnego dostępu do systemu (Local Access), co ogranicza powierzchnię ataku w porównaniu do typowych podatności sieciowych — mimo krytycznego wyniku CVSS 9.8 wynikającego z wektora sieciowego. Biuletyn producenta: DSA-2026-047, opublikowany 2026-05-11.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDell Elastic Cloud Storage
APPDell3.8.1.0 – 4.3.0.0 (bez)Dell Objectscale
APPDell< 4.3.0.0
Powiązane podatności
EMC Elastic Cloud Storage (ECS) before 3.1 is affected by an undocumented account vulnerability that could pot...
Dell Elastic Cloud Storage, version 3.8.1.7 and prior, and Dell ObjectScale, versions prior to 4.1.0.3 and ver...
Dell ECS, versions 3.8.1.0 through 3.8.1.7, and Dell ObjectScale versions prior to 4.2.0.0, contains an Use of...
Dell ECS, versions 3.8.1.0 through 3.8.1.7, and Dell ObjectScale versions prior to 4.2.0.0, contains a Clearte...
Dell ECS versions prior to 3.8.1.5/ ObjectScale version 4.0.0.0, contain a Use of Hard-coded Cryptographic Key...