Dell 發布Dell Unity、Dell UnityVSA 和 Dell Unity XT 儲存系統中的多個安全性更新

風險等級: 高度威脅
摘 要: 弱點通告:Dell 發布Dell Unity、Dell UnityVSA 和 Dell Unity XT 儲存系統中的多個安全性更新,建議請管理者儘速評估更新!
影響系統:
  • Dell Unity OS系統 5.4 (含)之前版本
解決辦法: 建議請管理者評估更新到最新版本 : Dell Unity OS系統 5.5.0.0.5.259 (含)之後版本,以修補漏洞並保護系統免受潛在攻擊。
細節描述: Dell 於3月27日發布的產品安全公告編號為DSA-2025-116,針對 Dell Unity、Dell UnityVSA 和 Dell Unity XT 儲存系統中的多個安全漏洞提供了修補措施。
存在漏洞的產品主要是因Unity OS 5.4版及之前版本中的儲存作業系統,影響到Dell Unity、Dell UnityVSA 和 Dell Unity XT等儲存陣列產品。
其中主要的漏洞為以下3項:CVE-2025-22398 : CVSS 9.8
這個漏洞是由於對作業系統命令中特殊字元處理不當所導致的,也就是所謂的 OS 指令注入(OS command injection)。
未經驗證的攻擊者只要能遠端存取目標系統,就可以利用這個漏洞來執行任意命令,且會以 root(最高管理權限)執行,可能導致系統被完全控制。

CVE-2025-24383 : CVSS 9.1
是一個影響 Dell Unity 儲存系統(版本 5.4 及更早版本)的嚴重安全漏洞。
此漏洞源於作業系統命令中特殊元素的處理不當(即 OS 指令注入)。
未經驗證的遠端攻擊者可利用此漏洞刪除任意檔案,包括關鍵的系統檔案,可能導致系統無法運作或完全崩潰。

CVE-2025-24381 : CVSS 8.1
漏洞描述:
此漏洞屬於「URL 重定向至不受信任的網站」(Open Redirect)類型。
未經驗證的遠端攻擊者可以利用此漏洞,將目標應用程式的使用者重定向到任意的網頁 URL。
攻擊者可能藉此進行網路釣魚攻擊,誘使使用者透露敏感資訊,甚至可能導致會話被劫持。
影響:
1.網路釣魚攻擊:攻擊者可利用此漏洞將使用者引導至惡意網站,誘騙其輸入敏感資訊,如登入憑證。
2.會話被劫持:成功的攻擊可能使攻擊者獲取使用者的會話資訊,進而冒充使用者執行未經授權的操作。
參考資訊: Dell (DSA-2025-116)
ithome

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *