CRITICAL✓ PATCH🇬🇧 English

CVE-2023-32462

Dell SmartFabric OS10 — command injection przy zdalnym uwierzytelnianiu

CVSS 9.8v3.1pub. 2024-02-15upd. 2025-01-23

Przełączniki sieciowe Dell OS10 w wersjach 10.5.2.x i nowszych zawierają podatność typu command injection w mechanizmie zdalnego uwierzytelniania użytkowników. Niezauwierzytelniony atakujący zdalnie może wykonać dowolne polecenia systemowe i przejąć kontrolę nad urządzeniem.

Pokaż oryginał (EN)

Dell OS10 Networking Switches running 10.5.2.x and above contain an OS command injection vulnerability when using remote user authentication. A remote unauthenticated attacker could potentially exploit this vulnerability, leading to the execution of arbitrary OS commands and possible system takeover. This is a critical vulnerability as it allows an attacker to cause severe damage. Dell recommends customers to upgrade at the earliest opportunity.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji danych wejściowych (CWE-20) przekazywanych podczas procesu zdalnego uwierzytelniania użytkowników. Niewystarczające filtrowanie umożliwia wstrzyknięcie złośliwych poleceń systemowych (CWE-78), które są następnie wykonywane przez system operacyjny przełącznika. Atak nie wymaga żadnego wcześniejszego uwierzytelnienia ani interakcji ze strony użytkownika, a wektor sieciowy sprawia, że może być przeprowadzony w pełni zdalnie.

Skutki

Atakujący może wykonać dowolne polecenia na poziomie systemu operacyjnego urządzenia, co w efekcie prowadzi do pełnego przejęcia kontroli nad przełącznikiem sieciowym. Skutkiem może być naruszenie poufności, integralności i dostępności całej infrastruktury sieciowej opartej na podatnych urządzeniach.

Mitygacja

Dell zaleca jak najszybszą aktualizację oprogramowania. Szczegółowe informacje o dostępnych patchach znajdują się w biuletynie bezpieczeństwa Dell DSA-2023-124 pod adresem: https://www.dell.com/support/kbdoc/en-us/000216584/dsa-2023-124-security-update-for-dell-smartfabric-os10-multiple-vulnerabilities

Kogo dotyczy

Dell SmartFabric OS10 Networking Switches w wersjach 10.5.2.x i nowszych

Uwagi

Podatność opisana w biuletynie Dell DSA-2023-124 jako część zestawu wielu podatności w Dell SmartFabric OS10. Karta opublikowana 2024-02-15, mimo że biuletyn producenta nosi datę z 2023 roku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dell Smartfabric Os10

    OS
    Dell
    10.5.5.010.5.5.110.5.5.210.5.5.310.5.3.0 – 10.5.3.8 (bez)10.5.4.0 – 10.5.4.8 (bez)10.5.2.0 – 10.5.2.12 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2023-28078CRITICAL9.1PL ✓ten sam produkt

Podatność zeroMQ w Dell OS10 — ujawnienie danych i DoS przy konfiguracji VLT

CVE-2025-46427HIGH8.8ten sam produkt

Dell SmartFabric OS10 Software, versions prior to 10.6.1.0, contain an Improper Neutralization of Special Elem...

CVE-2025-46428HIGH8.8ten sam produkt

Dell SmartFabric OS10 Software, versions prior to 10.6.1.0, contain an Improper Neutralization of Special Ele...

CVE-2024-48831HIGH8.4ten sam produkt

Dell SmartFabric OS10 Software, version(s) 10.5.6.x, contain(s) a Use of Hard-coded Password vulnerability. An...

CVE-2024-48013HIGH8.8ten sam produkt

Dell SmartFabric OS10 Software, version(s) 10.5.4.x, 10.5.5.x, 10.5.6.x, 10.6.0.x, contain(s) an Execution wit...