CRITICAL✓ PATCH🇬🇧 English

CVE-2026-40636

Dell ECS / ObjectScale — podatność hard-coded credentials umożliwiająca dostęp do systemu plików

CVSS 9.8v3.1pub. 2026-05-11upd. 2026-05-12

Dell ECS oraz Dell ObjectScale zawierają zakodowane na stałe w kodzie źródłowym dane uwierzytelniające (hard-coded credentials), co sklasyfikowano jako CWE-798. Podatność umożliwia nieuwierzytelnionemu atakującemu posiadającemu lokalny dostęp do systemu uzyskanie dostępu do systemu plików urządzenia.

Pokaż oryginał (EN)

Dell ECS versions 3.8.1.0 through 3.8.1.7 and Dell ObjectScale versions prior to 4.3.0.0, contains a use of hard-coded credentials vulnerability. An unauthenticated attacker with local access could potentially exploit this vulnerability, leading to filesystem access for attacker.

🤖 Analiza AI
Jak działa

Producent zakodował na stałe dane uwierzytelniające (np. hasło lub klucz) bezpośrednio w oprogramowaniu, bez możliwości ich zmiany przez administratora. Atakujący z lokalnym dostępem do systemu może wykorzystać te znane poświadczenia do uwierzytelnienia się w komponencie bez posiadania legalnych uprawnień. W efekcie uzyskuje dostęp do systemu plików urządzenia, omijając standardowe mechanizmy kontroli dostępu.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do systemu plików, co może prowadzić do odczytu poufnych danych, modyfikacji plików konfiguracyjnych lub naruszenia integralności i poufności przechowywanych danych.

Mitygacja

Należy zaktualizować Dell ECS do wersji wyższej niż 3.8.1.7 oraz Dell ObjectScale do wersji 4.3.0.0 lub nowszej zgodnie z zaleceniami producenta opisanymi w biuletynie DSA-2026-047 dostępnym pod adresem: https://www.dell.com/support/kbdoc/en-us/000462117/

Kogo dotyczy

Dell ECS w wersjach od 3.8.1.0 do 3.8.1.7 włącznie oraz Dell ObjectScale w wersjach wcześniejszych niż 4.3.0.0.

Uwagi

Podatność wymaga lokalnego dostępu do systemu (Local Access), co ogranicza powierzchnię ataku w porównaniu do typowych podatności sieciowych — mimo krytycznego wyniku CVSS 9.8 wynikającego z wektora sieciowego. Biuletyn producenta: DSA-2026-047, opublikowany 2026-05-11.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dell Elastic Cloud Storage

    APP
    Dell
    3.8.1.0 – 4.3.0.0 (bez)
  • Dell Objectscale

    APP
    Dell
    < 4.3.0.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2017-8021CRITICAL9.8ten sam produkt

EMC Elastic Cloud Storage (ECS) before 3.1 is affected by an undocumented account vulnerability that could pot...

CVE-2026-28261HIGH7.8ten sam produkt

Dell Elastic Cloud Storage, version 3.8.1.7 and prior, and Dell ObjectScale, versions prior to 4.1.0.3 and ver...

CVE-2026-22273HIGH8.8ten sam produkt

Dell ECS, versions 3.8.1.0 through 3.8.1.7, and Dell ObjectScale versions prior to 4.2.0.0, contains an Use of...

CVE-2026-22271HIGH7.5ten sam produkt

Dell ECS, versions 3.8.1.0 through 3.8.1.7, and Dell ObjectScale versions prior to 4.2.0.0, contains a Clearte...

CVE-2025-26476HIGH8.4ten sam produkt

Dell ECS versions prior to 3.8.1.5/ ObjectScale version 4.0.0.0, contain a Use of Hard-coded Cryptographic Key...