CVE-2026-23777: Exposición de Información en Dell PowerProtect Data Domain
Plataforma
linux
Componente
dell-powerprotect-datadomain
Corregido en
8.6.0.0 or later
La vulnerabilidad CVE-2026-23777 afecta a Dell PowerProtect Data Domain con DD OS en versiones Feature Release 7.7.1.0 a 8.5, LTS2025 8.3.1.0 a 8.3.1.20 y LTS2024 7.13.1.0 a 7.13.1.50. Permite a un atacante remoto de bajo privilegio exponer información sensible. La solución recomendada es actualizar a la versión 8.6.0.0 o posterior.
Impacto y Escenarios de Ataque
Esta vulnerabilidad permite a un atacante con acceso remoto, pero con privilegios limitados, acceder a información confidencial almacenada en el sistema Dell PowerProtect Data Domain. El impacto potencial incluye la divulgación de datos de clientes, información financiera, datos de propiedad intelectual o cualquier otro dato sensible que se almacene en el sistema. La exposición de esta información podría resultar en daños a la reputación, sanciones regulatorias, pérdida de confianza del cliente y posibles demandas. Aunque la vulnerabilidad requiere acceso remoto, la facilidad con la que un atacante de bajo privilegio podría explotarla amplía el posible alcance del daño.
Contexto de Explotación
La vulnerabilidad CVE-2026-23777 fue publicada el 17 de abril de 2026. La probabilidad de explotación se considera media, dado que requiere acceso remoto, pero la relativa facilidad de la explotación podría aumentar el riesgo. No se han reportado campañas de explotación activas conocidas al momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. La severidad se evalúa como media según el CVSS.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.01% (1% percentil)
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Bajo — acceso parcial o indirecto a algunos datos.
- Integrity
- Ninguno — sin impacto en integridad.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2026-23777 es actualizar a la versión 8.6.0.0 o posterior de Dell PowerProtect Data Domain. Si la actualización inmediata no es posible debido a problemas de compatibilidad o tiempo de inactividad, se recomienda revisar las configuraciones de acceso remoto para restringir el acceso a usuarios autorizados únicamente. Implementar reglas de firewall para limitar el tráfico de red al sistema Data Domain también puede ayudar a reducir la superficie de ataque. Monitorear los registros del sistema en busca de actividad sospechosa, como intentos de acceso no autorizados, es crucial. Después de la actualización, confirme la mitigación revisando los registros del sistema y verificando que el acceso remoto esté restringido a usuarios autorizados.
Cómo corregirlotraduciendo…
Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior, o a la versión 7.13.1.50 o posterior, o a la versión 2.7.9 con DD OS 8.3.1.30 para mitigar la vulnerabilidad de exposición de información sensible. Consulte la nota de seguridad DSA-2026-060 para obtener más detalles e instrucciones de actualización.
Preguntas frecuentes
What is CVE-2026-23777 — Exposición de Información en Dell PowerProtect Data Domain?
CVE-2026-23777 es una vulnerabilidad de exposición de información en Dell PowerProtect Data Domain que permite a un atacante remoto de bajo privilegio acceder a datos sensibles. Afecta a versiones 7.7.1.0–8.6.0.0 y LTS2024/2025.
Am I affected by CVE-2026-23777 in Dell PowerProtect Data Domain?
Si está utilizando Dell PowerProtect Data Domain con DD OS en las versiones Feature Release 7.7.1.0 a 8.5, LTS2025 8.3.1.0 a 8.3.1.20 o LTS2024 7.13.1.0 a 7.13.1.50, es posible que esté afectado.
How do I fix CVE-2026-23777 in Dell PowerProtect Data Domain?
La solución es actualizar a la versión 8.6.0.0 o posterior de Dell PowerProtect Data Domain. Si la actualización no es inmediata, revise y restrinja el acceso remoto.
Is CVE-2026-23777 being actively exploited?
Actualmente no se han reportado campañas de explotación activas conocidas, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Where can I find the official Dell advisory for CVE-2026-23777?
Consulte el sitio web de Dell Security Advisories para obtener la información más reciente y la guía de mitigación oficial: [https://www.dell.com/support/home/security](https://www.dell.com/support/home/security)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...