【漏洞通告】Dell PowerProtect DD跨站脚本漏洞(CVE-2023-44286)

admin
admin
admin
140076
文章
114
评论
2023年12月15日17:23:19评论266 views字数 2588阅读8分37秒阅读模式

一、漏洞概述

CVE   ID

CVE-2023-44286

发现时间

2023-12-15

类    型

XSS

等    级

高危

攻击向量

网络

所需权限

攻击复杂度

用户交互

需要

PoC/EXP

未公开

在野利用

未发现
Dell(戴尔公司)是全球知名的计算机系统公司、计算机产品及服务提供商,主要以生产、设计、销售家用以及办公室电脑而闻名,同时也生产与销售服务器、数据储存设备、网络设备等。Dell PowerProtect Data Domain (DD) 系列设备旨在帮助组织大规模保护、管理和恢复数据。
12月15日,启明星辰VSRC监测到Dell发布了PowerProtect 安全更新,修复了PowerProtect DD中的一个基于DOM的XSS漏洞(CVE-2023-44286),其CVSS评分为8.8。未经身份验证的远程威胁者可利用该漏洞,向受害用户浏览器的 DOM 环境中注入恶意 HTML或JavaScript 代码,可能在用户交互的情况下导致信息泄露、会话盗窃或客户端请求伪造。
此外,本次PowerProtect安全更新还修复了以下7个漏洞:
CVE-2023-48668:Dell PowerProtect DD命令注入漏洞(高危)
CVE-2023-44285:Dell PowerProtect DD访问控制不当本地权限提升漏洞(高危)
CVE-2023-44277:Dell PowerProtect DD命令注入漏洞(高危)
CVE-2023-48667:Dell PowerProtect DD命令注入漏洞(高危)
CVE-2023-44279:Dell PowerProtect DD命令注入漏洞(中危)
CVE-2023-44278:Dell PowerProtect DD目录遍历未漏洞(中危)
CVE-2023-44284:Dell PowerProtect DD SQL 注入漏洞(中危)

二、影响范围

CVE

受影响产品

影响范围

修复版本

CVE-2023-44286、CVE-2023-44285、CVE-2023-44277、CVE-2023-48667、CVE-2023-44279、CVE-2023-44278、CVE-2023-44284

Dell PowerProtect DD 系列设备、Dell PowerProtect DD Virtual Edition、Dell  APEX Protection Storage

7.0 -7.12.0.0

升级到7.13.0.10 及更高版本

(或者7.10.1.15及以上版本继续使用LTS2023 7.10、7.7.5.25 及更高版本继续使用 LTS2022 7.7)

6.2.1.100及之前版本

升级到6.2.1.110及以上版本

CVE-2023-44286、CVE-2023-48668、CVE-2023-44285、CVE-2023-44277、CVE-2023-48667、CVE-2023-44279、CVE-2023-44278

Dell PowerProtect DD management Center

7.0 - 7.12.0.0

升级到7.13.0.10 及更高版本

(或者7.10.1.15 及更高版本继续使用 LTS2023 7.10 、  7.7.5.25 及更高版本继续使用  LTS2022 7.7)

6.2.1.100及之前版本

升级到6.2.1.110及以上版本

CVE-2023-44286、CVE-2023-44285、CVE-2023-44277、CVE-2023-48667、CVE-2023-44279、CVE-2023-44278、CVE-2023-44284

PowerProtect DP 系列设备 (IDPA):所有型号

2.7.4 及之前版本

升级到2.7.6 及以上版本(预计2023 年 12 月 21 日发布)

CVE-2023-44284

PowerProtect 数据管理器设备型号:DM5500

5.14及之前版本

升级到5.15.0.0及以上版本

CVE-2023-44286、CVE-2023-44285、CVE-2023-44277、CVE-2023-48667、CVE-2023-44279、CVE-2023-44278、CVE-2023-44284

大型机磁盘库 (DLm) 环境中使用的戴尔 PowerProtect DD 系列设备和戴尔 PowerProtect DD 虚拟版

7.0 - 7.12.0.0

升级到7.13.0.10 及更高版本

(或者7.10.1.15 及更高版本继续使用 LTS2023 7.10 、  7.7.5.25 及更高版本继续使用  LTS2022 7.7)

6.2.1.100及之前版本

升级到6.2.1.110及以上版本


三、安全措施

3.1 升级版本

目前这些漏洞已经修复,受影响用户可升级到相应修复版本。
下载链接:
https://www.dell.com/support/kbdoc/en-in/000220264/dsa-2023-412-dell-technologies-powerprotect-security-update-for-multiple-security-vulnerabilities

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。

3.4 参考链接

https://www.dell.com/support/kbdoc/en-in/000220264/dsa-2023-412-dell-technologies-powerprotect-security-update-for-multiple-security-vulnerabilities
https://www.securityweek.com/dell-urges-customers-to-patch-vulnerabilities-in-powerprotect-products/


原文始发于微信公众号(启明星辰安全简讯):【漏洞通告】Dell PowerProtect DD跨站脚本漏洞(CVE-2023-44286)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月15日17:23:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Dell PowerProtect DD跨站脚本漏洞(CVE-2023-44286)https://cn-sec.com/archives/2303060.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息