CRITICAL✓ PATCH🇬🇧 English

CVE-2025-36594

Authentication Bypass by Spoofing w Dell PowerProtect Data Domain DD OS

CVSS 9.8v3.1pub. 2025-08-04upd. 2025-10-16

Dell PowerProtect Data Domain z systemem operacyjnym DD OS zawiera podatność umożliwiającą nieuwierzytelnionym atakującym ominięcie mechanizmów uwierzytelnienia poprzez spoofing. Luka jest krytyczna (CVSS 9.8) — nie wymaga żadnych uprawnień ani interakcji użytkownika, a dostęp możliwy jest zdalnie przez sieć.

Pokaż oryginał (EN)

Dell PowerProtect Data Domain with Data Domain Operating System (DD OS) of Feature Release versions 7.7.1.0 through 8.3.0.15, LTS2024 release Versions 7.13.1.0 through 7.13.1.25, LTS 2023 release versions 7.10.1.0 through 7.10.1.60, contain an Authentication Bypass by Spoofing vulnerability. An unauthenticated attacker with remote access could potentially exploit this vulnerability, leading to Protection mechanism bypass. Remote unauthenticated user can create account that potentially expose customer info, affect system integrity and availability.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-290 (Authentication Bypass by Spoofing) polega na tym, że mechanizm uwierzytelnienia systemu DD OS może zostać obejśty przez podszycie się pod uprawniony podmiot. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę lukę do stworzenia nowego konta w systemie bez posiadania jakichkolwiek wcześniejszych uprawnień. Skutkuje to całkowitym ominięciem mechanizmów ochronnych systemu.

Skutki

Atakujący może utworzyć nieuprawnione konto w systemie, co prowadzi do potencjalnego ujawnienia danych klientów, naruszenia integralności systemu oraz obniżenia jego dostępności.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach poprawionych dostępne są w biuletynie bezpieczeństwa Dell DSA-2025-159 pod adresem: https://www.dell.com/support/kbdoc/en-us/000348708/dsa-2025-159-security-update-for-dell-powerprotect-data-domain-multiple-vulnerabilities

Kogo dotyczy

Dell PowerProtect Data Domain z DD OS w następujących wersjach: Feature Release 7.7.1.0–8.3.0.15, LTS2024 7.13.1.0–7.13.1.25, LTS2023 7.10.1.0–7.10.1.60

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dell Data Domain Operating System

    OS
    Dell
    7.7.1.0 – 7.10.1.70 (bez)7.13.1.0 – 7.13.1.30 (bez)8.0.0.0 – 8.3.1.0 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-26354HIGH8.1ten sam produkt

Dell PowerProtect Data Domain with Domain Operating System (DD OS) of Feature Release versions 7.7.1.0 through...

CVE-2026-24506HIGH7.2ten sam produkt

Dell PowerProtect Data Domain, versions 7.7.1.0 through 8.6, LTS2025 release version 8.3.1.0 through 8.3.1.20,...

CVE-2026-23774HIGH7.2ten sam produkt

Dell PowerProtect Data Domain with Data Domain Operating System (DD OS) of Feature Release versions 7.7.1.0 th...

CVE-2026-24504HIGH7.2ten sam produkt

Dell PowerProtect Data Domain, versions 7.7.1.0 through 8.6, LTS2025 release version 8.3.1.0 through 8.3.1.20,...

CVE-2026-24505HIGH7.2ten sam produkt

Dell PowerProtect Data Domain, versions 8.5 through 8.6 contain an improper input validation vulnerability. A ...