Kostenlos scannen
Analyse ausstehendCVE-2026-28263

CVE-2026-28263: XSS in Dell PowerProtect Data Domain

Plattform

linux

Komponente

dell-powerprotect-data-domain

Behoben in

8.6.0.0 or later

Auf NVD ansehen
Speichern

CVE-2026-28263 addresses a cross-site scripting (XSS) vulnerability found in Dell PowerProtect Data Domain with Data Domain Operating System (DD OS). A high-privileged attacker with remote access could potentially exploit this vulnerability, leading to script injection. This vulnerability affects versions 7.7.1.0 through 8.5, LTS2025 versions 8.3.1.0 through 8.3.1.20, and LTS2024 versions 7.13.1.0 through 7.13.1.50. The issue is resolved in version 8.6.0.0 and later.

Auswirkungen und Angriffsszenarien

Successful exploitation of CVE-2026-28263 allows a remote, high-privileged attacker to inject malicious scripts into web pages viewed by other users of the Dell PowerProtect Data Domain system. This could lead to various consequences, including session hijacking, defacement of web pages, and redirection to malicious websites. The attacker could potentially steal sensitive information, such as credentials or personally identifiable information (PII), or even gain control of the affected system. The blast radius extends to all users who interact with the vulnerable web interface.

Ausnutzungskontext

CVE-2026-28263 was published on 2026-04-17 and has a CVSS score of 5.9 (Medium). No public exploits or active campaigns have been reported at the time of this writing. The vulnerability is not currently listed on KEV or EPSS, indicating a low to medium probability of exploitation. Monitor security advisories from Dell for updates and further guidance.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.01% (1% Perzentil)

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L5.9MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredHighErforderliche AuthentifizierungsstufeUser InteractionRequiredOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityLowRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Hoch — Administrator- oder Privilegienkonto erforderlich.
User Interaction
Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Niedrig — partieller oder intermittierender Denial of Service.

Betroffene Software

Komponentedell-powerprotect-data-domain
HerstellerDell
Mindestversion7.7.1.0
Höchstversion8.6.0.0 or later
Behoben in8.6.0.0 or later

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

  1. Veröffentlicht
  2. Geändert
  3. EPSS aktualisiert

Mitigation und Workarounds

The primary mitigation for CVE-2026-28263 is to upgrade Dell PowerProtect Data Domain to version 8.6.0.0 or later. If an immediate upgrade is not possible, implement strict input validation and output encoding on all user-supplied data to prevent script injection. Consider using a Web Application Firewall (WAF) to filter out malicious requests. Regularly review and update security policies to ensure they address XSS vulnerabilities. After upgrading, confirm the fix by testing the web interface with various input strings to ensure no scripts are being injected.

So behebenwird übersetzt…

Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior para LTS2025, o a la versión 7.13.1.50 o posterior para LTS2024. Consulte la nota de Dell Security Advisory DSA-2026-060 para obtener más detalles e instrucciones de actualización.

Häufig gestellte Fragen

Was ist CVE-2026-28263 — Cross-Site Scripting (XSS) in Dell PowerProtect Data Domain?

It's a cross-site scripting (XSS) vulnerability in Dell PowerProtect Data Domain allowing remote attackers to inject scripts.

Bin ich von CVE-2026-28263 in Dell PowerProtect Data Domain betroffen?

If you're using Dell PowerProtect Data Domain versions 7.7.1.0 through 8.6.0.0, you are potentially affected.

Wie behebe ich CVE-2026-28263 in Dell PowerProtect Data Domain?

Upgrade to Dell PowerProtect Data Domain version 8.6.0.0 or later. Implement input validation and output encoding as a temporary workaround.

Wird CVE-2026-28263 aktiv ausgenutzt?

Currently, there are no reports of active exploitation or public exploits for this vulnerability.

Wo finde ich den offiziellen Dell PowerProtect Data Domain-Hinweis für CVE-2026-28263?

Refer to the official Dell security advisory for CVE-2026-28263 for detailed information and updates: [Dell Security Advisory Link - Placeholder]

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...