CRITICAL✓ PATCH🇬🇧 English

CVE-2024-37143

Krytyczna podatność RCE w produktach Dell PowerFlex, InsightIQ i Data Lakehouse

CVSS 10.0v3.1pub. 2024-12-10upd. 2026-01-22

Podatność klasy Improper Link Resolution Before File Access (CWE-59) w wielu produktach Dell umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Uzyskanie oceny CVSS 10.0 odzwierciedla maksymalne ryzyko — brak wymagań co do uwierzytelnienia, interakcji użytkownika oraz pełny zakres skutków (poufność, integralność, dostępność).

Pokaż oryginał (EN)

Dell PowerFlex appliance versions prior to IC 46.381.00 and IC 46.376.00, Dell PowerFlex rack versions prior to RCM 3.8.1.0 (for RCM 3.8.x train) and prior to RCM 3.7.6.0 (for RCM 3.7.x train), Dell PowerFlex custom node using PowerFlex Manager versions prior to 4.6.1.0, Dell InsightIQ versions prior to 5.1.1, and Dell Data Lakehouse versions prior to 1.2.0.0 contain an Improper Link Resolution Before File Access vulnerability. An unauthenticated attacker with remote access could potentially exploit this vulnerability to execute arbitrary code on the system.

🤖 Analiza AI
Jak działa

Podatność polega na nieprawidłowym rozwiązywaniu dowiązań (linków) przed uzyskaniem dostępu do pliku — atakujący może manipulować ścieżkami symbolicznymi lub dowiązaniami systemowymi w taki sposób, aby system wykonał lub nadpisał pliki w niezamierzonych lokalizacjach. Exploit jest możliwy zdalnie, bez jakiegokolwiek uwierzytelnienia, co czyni wektor ataku wyjątkowo niebezpiecznym. W efekcie atakujący może doprowadzić do wykonania dowolnego kodu (RCE) z poziomu sieci.

Skutki

Atakujący może zdalnie wykonać dowolny kod na podatnym systemie bez uwierzytelnienia, co potencjalnie skutkuje pełnym przejęciem kontroli nad systemem, naruszeniem poufności i integralności danych oraz zakłóceniem dostępności usług.

Mitygacja

Należy niezwłocznie zaktualizować produkty do następujących wersji: Dell PowerFlex Appliance do IC 46.381.00 lub IC 46.376.00, Dell PowerFlex Rack do RCM 3.8.1.0 (linia 3.8.x) lub RCM 3.7.6.0 (linia 3.7.x), Dell PowerFlex Manager do 4.6.1.0, Dell InsightIQ do 5.1.1, Dell Data Lakehouse do 1.2.0.0. Szczegółowe instrukcje dostępne są w komunikacie DSA-2024-405 na stronie Dell Support.

Kogo dotyczy

Dell PowerFlex Appliance wersje przed IC 46.381.00 i IC 46.376.00; Dell PowerFlex Rack wersje przed RCM 3.8.1.0 (linia 3.8.x) i przed RCM 3.7.6.0 (linia 3.7.x); Dell PowerFlex Manager (custom node) wersje przed 4.6.1.0; Dell InsightIQ wersje przed 5.1.1; Dell Data Lakehouse wersje przed 1.2.0.0

Uwagi

Podatność opisana w biuletynie Dell DSA-2024-405 opublikowanym 2024-12-10. Mimo maksymalnego wyniku CVSS 10.0 podatność nie figuruje w katalogu CISA KEV, co może oznaczać brak potwierdzonego aktywnego wykorzystania w chwili publikacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Dell Data Lakehouse

    APP
    Dell
    < 1.2.0.0
  • Dell Insightiq

    APP
    Dell
    < 5.1.1
  • Dell Powerflex Appliance Intelligent Catalog

    APP
    Dell
    < 46.376.00
  • Dell Powerflex Manager

    APP
    Dell
    < 4.6.1.0
  • Dell Powerflex Rack Release Certification Matrix

    APP
    Dell
    3.7.0.0 – 3.7.6.0 (bez)3.8.0.0 – 3.8.1.0 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-46608CRITICAL9.1PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w Dell Data Lakehouse — Elevation of Privileges

CVE-2026-22283HIGH7.5ten sam produkt

Dell PowerFlex Manager, version(s) prior to 5.1.0.1, contain(s) an Inclusion of Functionality from Untrusted C...

CVE-2026-35065HIGH8.8ten sam produkt

Dell PowerFlex Manager, version(s) prior to 5.1.0.1, contain(s) a Missing Authentication for Critical Function...

CVE-2026-32804HIGH8.1ten sam produkt

Dell PowerFlex Manager, version(s) prior to 5.1.0.1, contain(s) an Improper Authentication vulnerability. An u...

CVE-2026-35066HIGH7.1ten sam produkt

Dell PowerFlex Manager, version(s) prior to 5.1.0.1, contain(s) an Improper Access Control vulnerability. A lo...