戴尔督促修复 PowerProtect 产品中的多个高危漏洞

这些漏洞影响 PowerProtect Data Domain (DD) 系列设备。这些设备旨在帮助组织机构披露保护、管理和恢复数据。APEX Protect Storage、PowerProtect DD Management Center、PowerProtect DP 系列设备以及 PowerProtect Data Manager 设备也受影响。

从CVSS评分来看，最严重的是CVE-2023-44268（CVSS评分8.8），它是一个基于DOM的XSS漏洞，可导致远程未认证攻击者将恶意代码注入目标用户的浏览器中。

利用这些漏洞可导致客户端请求伪造、会话盗取和信息泄露。虽然戴尔在公告中并未明确说明，但利用这些漏洞通常需要攻击者诱骗受害者点击恶意链接。其它一些漏洞被标记为“高危”，包括OS命令注入和访问控制不当等。漏洞注入漏洞可用于在底层操作系统执行任意命令，并可导致攻击者接管目标系统。虽然利用漏洞需要本地访问权限以及低权限或提升后的权限，但攻击者可利用漏洞如CVE-2023-44286实现认证要求。

认证攻击者可利用 PowerProtect 产品中的三个中危漏洞绕过安全限制并接管系统、获得对OS文件的读写权限，并在该应用的后端数据库上执行任意SQL命令并获得对 app 数据的读权限。

戴尔公司在一份声明中提到，“戴尔科技发布了对影响某些戴尔 PowerProtect Data Domain 产品的漏洞的修复方案。我们建议客户立即查看并实现戴尔安全公告 (DSA-20230412) 中提到的修复措施，修复受影响的产品、版本和其它信息。产品安全始终是公司的第一优先级，且对客户安全至关重要。”戴尔表示已迅速着手修复该漏洞，目前尚未看到遭利用的证据。

值得注意的是，戴尔的产品漏洞一直都遭复杂威胁行动者的利用。

近期，戴尔通知客户称 PowerEdge Server BIOS 中存在一个高危的提权漏洞，PowerMax 和 Unisphere 产品中存在数十个漏洞，以及VxRail Manager 的第三方组件中存在数十个漏洞。