Dell PowerScale OneFS w wersjach od 9.5.0.0 do 9.10.0.1 zawiera podatność braku autoryzacji w mechanizmie eksportu NFS. Nieuwierzytelniony atakujący zdalnie może uzyskać nieautoryzowany dostęp do systemu plików, co może prowadzić do pełnego przejęcia systemu.
▸ Pokaż oryginał (EN)
Dell PowerScale OneFS, versions 9.5.0.0 through 9.10.0.1, contains a missing authorization vulnerability in the NFS export. An unauthenticated attacker with remote access could potentially exploit this vulnerability leading to unauthorized filesystem access. The attacker may be able to read, modify, and delete arbitrary files. This vulnerability is considered critical as it can be leveraged to fully compromise the system. Dell recommends customers to upgrade at the earliest opportunity.
Podatność wynika z brakującej kontroli autoryzacji (CWE-862) w obsłudze eksportów NFS. Atakujący bez żadnych poświadczeń, mający jedynie zdalny dostęp sieciowy do urządzenia, może pominąć mechanizmy uwierzytelniania i uzyskać dostęp do zasobów systemu plików eksportowanych przez NFS. Wektor ataku nie wymaga interakcji użytkownika ani podwyższonych uprawnień, co czyni exploit szczególnie łatwym do przeprowadzenia.
Atakujący może bez autoryzacji odczytywać, modyfikować oraz usuwać dowolne pliki w systemie plików, co według producenta może prowadzić do pełnego przejęcia systemu (full system compromise).
Należy jak najszybciej zaktualizować Dell PowerScale OneFS do wersji nieobarczonej podatnością zgodnie z wytycznymi producenta zawartymi w biuletynie DSA-2025-208 dostępnym pod adresem: https://www.dell.com/support/kbdoc/en-us/000326339/dsa-2025-208-security-update-for-dell-powerscale-onefs-for-multiple-security-vulnerabilities. Dell wyraźnie zaleca przeprowadzenie aktualizacji w najwcześniejszym możliwym terminie.
Dell PowerScale OneFS w wersjach od 9.5.0.0 do 9.10.0.1 włącznie.
Podatność dotyczy wyłącznie środowisk, w których eksport NFS jest dostępny z sieci. Warto zweryfikować reguły firewalla ograniczające dostęp do portów NFS jako tymczasowy środek zaradczy do czasu wdrożenia patcha.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDell Powerscale Onefs
APPDell9.5.0.0 – 9.10.0.1
Powiązane podatności
Dell PowerScale OneFS — przejęcie konta przez domyślne hasło
Dell PowerScale OneFS, 8.2.x through 9.3.0.x, contain an error message with sensitive information. An administ...
Dell PowerScale OneFS versions prior to 9.13.0.0 contains an improper restriction of excessive authentication ...
Dell PowerScale OneFS, versions 9.4.0.0 through 9.9.0.0, contains an uncontrolled resource consumption vulnera...
Dell PowerScale OneFS, versions 9.4.0.0 through 9.10.0.1, contains an incorrect authorization vulnerability. A...