【安全圈】戴尔紧急通报PowerProtect产品中的多个高风险漏洞

戴尔正向使用PowerProtect DD产品的客户发出警告，通报了该产品中发现的8个安全漏洞，其中多个漏洞被评定为高严重性级别，并强烈建议客户安装补丁。

这些漏洞影响PowerProtect Data Domain (DD) 系列设备，以及APEX Protect Storage、PowerProtect DD Management Center、PowerProtect DP系列设备和PowerProtect Data Manager设备。

最严重的漏洞，编号CVE-2023-44286，是一项DOM-based跨站点脚本(XSS)问题，CVSS得分8.8。这个漏洞允许未经认证的远程攻击者向用户浏览器注入恶意代码。

CVE-2023-44286漏洞的利用可能导致客户端请求伪造、会话盗窃和信息泄露。攻击者通常会诱使受害者点击恶意链接来利用这类漏洞。

其他“高严重性”漏洞包括操作系统命令注入和不当访问控制缺陷，这些可能允许攻击者在易受攻击的系统上执行任意命令，或接管目标系统。

还有三个中等严重性的漏洞，可被认证过的攻击者利用，以绕过安全限制、接管系统、获取操作系统文件的读写权限，以及在应用程序的后端数据库执行任意SQL命令。

戴尔还通报了其PowerEdge服务器BIOS中的高严重性权限升级漏洞，PowerMax和Unisphere产品的漏洞，以及影响VxRail Manager第三方组件的多个漏洞。