Dell PowerScale OneFS w wersjach 9.5.0.0–9.10.1.0 zawiera podatność polegającą na używaniu domyślnego hasła dla konta o wysokich uprawnieniach. Nieuwierzytelniony atakujący zdalnie może przejąć kontrolę nad tym kontem bez żadnych dodatkowych warunków wstępnych.
▸ Pokaż oryginał (EN)
Dell PowerScale OneFS, versions 9.5.0.0 through 9.10.1.0, contains a use of default password vulnerability. An unauthenticated attacker with remote access could potentially exploit this vulnerability, leading to the takeover of a high privileged user account.
Podatność (CWE-1393) polega na tym, że system pozostawia aktywne konto uprzywilejowane z domyślnym, niezmienianym hasłem. Atakujący z dostępem sieciowym może uwierzytelnić się przy użyciu tego domyślnego hasła, omijając w ten sposób wszelkie mechanizmy kontroli dostępu. Brak wymogu interakcji użytkownika ani szczególnych warunków środowiskowych sprawia, że atak jest prosty do przeprowadzenia na dużą skalę.
Atakujący może całkowicie przejąć konto użytkownika o wysokich uprawnieniach, co w praktyce oznacza pełną kontrolę nad środowiskiem Dell PowerScale OneFS — w tym dostęp do przechowywanych danych, możliwość ich modyfikacji lub usunięcia oraz destabilizację usług.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (DSA-2025-119). Dodatkowo zaleca się natychmiastową zmianę domyślnych haseł na wszystkich kontach uprzywilejowanych oraz ograniczenie dostępu sieciowego do interfejsów zarządzania systemem.
Dell PowerScale OneFS w wersjach od 9.5.0.0 do 9.10.1.0 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDell Powerscale Onefs
APPDell9.5.0.0 – 9.10.1.0
Powiązane podatności
Brak autoryzacji w NFS export — Dell PowerScale OneFS (Auth Bypass)
Dell PowerScale OneFS, 8.2.x through 9.3.0.x, contain an error message with sensitive information. An administ...
Dell PowerScale OneFS versions prior to 9.13.0.0 contains an improper restriction of excessive authentication ...
Dell PowerScale OneFS, versions 9.4.0.0 through 9.9.0.0, contains an uncontrolled resource consumption vulnera...
Dell PowerScale OneFS, versions 9.4.0.0 through 9.10.0.1, contains an incorrect authorization vulnerability. A...