Podatność klasy Improper Link Resolution Before File Access (CWE-59) w wielu produktach Dell umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Uzyskanie oceny CVSS 10.0 odzwierciedla maksymalne ryzyko — brak wymagań co do uwierzytelnienia, interakcji użytkownika oraz pełny zakres skutków (poufność, integralność, dostępność).
▸ Pokaż oryginał (EN)
Dell PowerFlex appliance versions prior to IC 46.381.00 and IC 46.376.00, Dell PowerFlex rack versions prior to RCM 3.8.1.0 (for RCM 3.8.x train) and prior to RCM 3.7.6.0 (for RCM 3.7.x train), Dell PowerFlex custom node using PowerFlex Manager versions prior to 4.6.1.0, Dell InsightIQ versions prior to 5.1.1, and Dell Data Lakehouse versions prior to 1.2.0.0 contain an Improper Link Resolution Before File Access vulnerability. An unauthenticated attacker with remote access could potentially exploit this vulnerability to execute arbitrary code on the system.
Podatność polega na nieprawidłowym rozwiązywaniu dowiązań (linków) przed uzyskaniem dostępu do pliku — atakujący może manipulować ścieżkami symbolicznymi lub dowiązaniami systemowymi w taki sposób, aby system wykonał lub nadpisał pliki w niezamierzonych lokalizacjach. Exploit jest możliwy zdalnie, bez jakiegokolwiek uwierzytelnienia, co czyni wektor ataku wyjątkowo niebezpiecznym. W efekcie atakujący może doprowadzić do wykonania dowolnego kodu (RCE) z poziomu sieci.
Atakujący może zdalnie wykonać dowolny kod na podatnym systemie bez uwierzytelnienia, co potencjalnie skutkuje pełnym przejęciem kontroli nad systemem, naruszeniem poufności i integralności danych oraz zakłóceniem dostępności usług.
Należy niezwłocznie zaktualizować produkty do następujących wersji: Dell PowerFlex Appliance do IC 46.381.00 lub IC 46.376.00, Dell PowerFlex Rack do RCM 3.8.1.0 (linia 3.8.x) lub RCM 3.7.6.0 (linia 3.7.x), Dell PowerFlex Manager do 4.6.1.0, Dell InsightIQ do 5.1.1, Dell Data Lakehouse do 1.2.0.0. Szczegółowe instrukcje dostępne są w komunikacie DSA-2024-405 na stronie Dell Support.
Dell PowerFlex Appliance wersje przed IC 46.381.00 i IC 46.376.00; Dell PowerFlex Rack wersje przed RCM 3.8.1.0 (linia 3.8.x) i przed RCM 3.7.6.0 (linia 3.7.x); Dell PowerFlex Manager (custom node) wersje przed 4.6.1.0; Dell InsightIQ wersje przed 5.1.1; Dell Data Lakehouse wersje przed 1.2.0.0
Podatność opisana w biuletynie Dell DSA-2024-405 opublikowanym 2024-12-10. Mimo maksymalnego wyniku CVSS 10.0 podatność nie figuruje w katalogu CISA KEV, co może oznaczać brak potwierdzonego aktywnego wykorzystania w chwili publikacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HDell Data Lakehouse
APPDell< 1.2.0.0Dell Insightiq
APPDell< 5.1.1Dell Powerflex Appliance Intelligent Catalog
APPDell< 46.376.00Dell Powerflex Manager
APPDell< 4.6.1.0Dell Powerflex Rack Release Certification Matrix
APPDell3.7.0.0 – 3.7.6.0 (bez)3.8.0.0 – 3.8.1.0 (bez)
Powiązane podatności
Nieprawidłowa kontrola dostępu w Dell Data Lakehouse — Elevation of Privileges
Dell PowerFlex Manager, version(s) prior to 5.1.0.1, contain(s) an Inclusion of Functionality from Untrusted C...
Dell PowerFlex Manager, version(s) prior to 5.1.0.1, contain(s) a Missing Authentication for Critical Function...
Dell PowerFlex Manager, version(s) prior to 5.1.0.1, contain(s) an Improper Authentication vulnerability. An u...
Dell PowerFlex Manager, version(s) prior to 5.1.0.1, contain(s) an Improper Access Control vulnerability. A lo...