CVE-2026-28263: XSS en Dell PowerProtect Data Domain
Plataforma
linux
Componente
dell-powerprotect-data-domain
Corregido en
8.6.0.0 or later
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Dell PowerProtect Data Domain, afectando a las versiones del Sistema Operativo Data Domain (DD OS) desde la Feature Release 7.7.1.0 hasta la 8.5, LTS2025 8.3.1.0 a 8.3.1.20 y LTS2024 7.13.1.0 a 7.13.1.50. Un atacante con acceso remoto y privilegios elevados podría explotar esta falla para inyectar scripts maliciosos. La solución recomendada es actualizar a la versión 8.6.0.0 o posterior.
Impacto y Escenarios de Ataque
La explotación exitosa de esta vulnerabilidad XSS podría permitir a un atacante inyectar código JavaScript malicioso en las páginas web de la interfaz de administración de Dell PowerProtect Data Domain. Esto podría resultar en el robo de credenciales de usuario, la manipulación de datos, la redirección a sitios web maliciosos o incluso la ejecución remota de código en el sistema afectado. El impacto se agrava por la posibilidad de que el atacante, al tener privilegios elevados, pueda comprometer la integridad de los datos almacenados y la disponibilidad del servicio. Aunque no se han reportado ataques públicos directos relacionados con esta vulnerabilidad, la naturaleza de XSS la convierte en un vector de ataque común y potencialmente peligroso.
Contexto de Explotación
La vulnerabilidad CVE-2026-28263 fue publicada el 17 de abril de 2026. La probabilidad de explotación se considera media, dado que se trata de una vulnerabilidad XSS y no se ha reportado su explotación activa en campañas conocidas. No se ha identificado en KEV ni se ha asignado un puntaje EPSS. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. Consulte la alerta de Dell para obtener más detalles.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.01% (1% percentil)
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Alto — se requiere cuenta de administrador o privilegiada.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Bajo — acceso parcial o indirecto a algunos datos.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Bajo — denegación de servicio parcial o intermitente.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para esta vulnerabilidad es actualizar a la versión 8.6.0.0 o posterior de Dell PowerProtect Data Domain. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Considere la posibilidad de restringir el acceso a la interfaz de administración solo a usuarios autorizados y con contraseñas robustas. Implementar políticas de seguridad de contenido (CSP) en la configuración del servidor web puede ayudar a mitigar el riesgo de inyección de scripts. Monitorear los registros del sistema en busca de patrones sospechosos de actividad XSS también es crucial. Después de la actualización, verifique la correcta aplicación de los parches revisando la versión del software y realizando pruebas de penetración básicas.
Cómo corregirlotraduciendo…
Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior para LTS2025, o a la versión 7.13.1.50 o posterior para LTS2024. Consulte la nota de Dell Security Advisory DSA-2026-060 para obtener más detalles e instrucciones de actualización.
Preguntas frecuentes
What is CVE-2026-28263 — XSS en Dell PowerProtect Data Domain?
CVE-2026-28263 es una vulnerabilidad de Cross-Site Scripting (XSS) que afecta a Dell PowerProtect Data Domain, permitiendo la inyección de scripts maliciosos por un atacante con privilegios elevados.
Am I affected by CVE-2026-28263 en Dell PowerProtect Data Domain?
Si está utilizando Dell PowerProtect Data Domain en las versiones 7.7.1.0–8.6.0.0, LTS2025 8.3.1.0–8.3.1.20 o LTS2024 7.13.1.0–7.13.1.50, es posible que esté afectado.
How do I fix CVE-2026-28263 en Dell PowerProtect Data Domain?
La solución es actualizar a la versión 8.6.0.0 o posterior de Dell PowerProtect Data Domain. Si la actualización no es posible, implemente medidas de seguridad adicionales como CSP y restricciones de acceso.
Is CVE-2026-28263 being actively exploited?
Actualmente no se han reportado ataques públicos directos relacionados con esta vulnerabilidad, pero su naturaleza XSS la hace potencialmente peligrosa.
Where can I find the official Dell advisory for CVE-2026-28263?
Consulte el sitio web de Dell Security Advisories para obtener la información oficial sobre CVE-2026-28263 y las actualizaciones disponibles.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...