Analyse en attenteCVE-2026-28263

CVE-2026-28263: XSS dans Dell PowerProtect Data Domain

Plateforme

linux

Composant

dell-powerprotect-data-domain

Corrigé dans

8.6.0.0 or later

Voir sur NVD

Sauvegarder

La vulnérabilité CVE-2026-28263 affecte les systèmes Dell PowerProtect Data Domain exécutant les versions de l'OS DD (DD OS) Feature Release 7.7.1.0 à 8.5, LTS2025 8.3.1.0 à 8.3.1.20 et LTS2024 7.13.1.0 à 7.13.1.50. Elle permet une injection de script via une faille de Cross-Site Scripting (XSS). L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant privilégié à distance d'injecter des scripts malveillants.

Impact et Scénarios d'Attaque

Un attaquant exploitant avec succès cette vulnérabilité XSS pourrait injecter des scripts malveillants dans les pages web affichées par les utilisateurs de Dell PowerProtect Data Domain. Cela pourrait conduire au vol de cookies de session, à l'usurpation d'identité d'utilisateurs authentifiés, ou à la redirection des utilisateurs vers des sites web malveillants. L'attaquant pourrait potentiellement compromettre l'intégrité des données stockées sur le système Data Domain, ou même prendre le contrôle du système lui-même. Bien que la description ne précise pas de cas d'exploitation réels, les vulnérabilités XSS sont fréquemment utilisées dans des attaques de phishing et de déni de service.

Contexte d'Exploitation

La vulnérabilité CVE-2026-28263 a été publiée le 17 avril 2026. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'un accès privilégié à distance. Il n'y a pas d'indications d'une campagne d'exploitation active à ce jour. Aucune mention sur KEV ou EPSS n'est disponible au moment de la rédaction. Consultez l'avis de sécurité Dell pour plus d'informations.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu

CISA KEVNO

Exposition InternetÉlevée

EPSS

0.01% (percentile 1%)

Vecteur CVSS

Que signifient ces métriques?

Attack Vector: Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity: Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required: Élevé — un compte administrateur ou privilégié est requis.
User Interaction: Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope: Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality: Faible — accès partiel ou indirect à certaines données.
Integrity: Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability: Faible — déni de service partiel ou intermittent.

Logiciel Affecté

Composantdell-powerprotect-data-domain

FournisseurDell

Version minimale7.7.1.0

Version maximale8.6.0.0 or later

Corrigé dans8.6.0.0 or later

Classification de Faiblesse (CWE)

CWE-79

Chronologie

Publiée2026-04-17
Modifiée2026-04-18
EPSS mis à jour2026-04-24

Mitigation et Contournements

La mitigation principale consiste à mettre à jour le système Dell PowerProtect Data Domain vers une version corrigée (8.6.0.0 ou ultérieure). Avant de procéder à la mise à jour, il est fortement recommandé de sauvegarder la configuration actuelle du système. Si la mise à jour provoque des problèmes de compatibilité, envisagez de revenir à une version précédente stable. En attendant la mise à jour, il n'existe pas de correctif officiel, mais des règles de pare-feu d'applications web (WAF) peuvent être configurées pour bloquer les requêtes contenant des scripts potentiellement malveillants. Vérifiez après la mise à jour que les fonctionnalités critiques du système fonctionnent correctement.

Comment corrigertraduction en cours…

Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior para LTS2025, o a la versión 7.13.1.50 o posterior para LTS2024. Consulte la nota de Dell Security Advisory DSA-2026-060 para obtener más detalles e instrucciones de actualización.

Questions fréquentes

Que signifie CVE-2026-28263 — XSS dans Dell PowerProtect Data Domain ?

CVE-2026-28263 décrit une vulnérabilité de Cross-Site Scripting (XSS) dans Dell PowerProtect Data Domain, permettant à un attaquant d'injecter des scripts malveillants. Cela peut compromettre la sécurité des données et des utilisateurs.

Suis-je affecté par CVE-2026-28263 dans Dell PowerProtect Data Domain ?

Oui, si vous utilisez Dell PowerProtect Data Domain avec les versions de l'OS DD (DD OS) Feature Release 7.7.1.0 à 8.5, LTS2025 8.3.1.0 à 8.3.1.20 et LTS2024 7.13.1.0 à 7.13.1.50, vous êtes potentiellement affecté.

Comment corriger CVE-2026-28263 dans Dell PowerProtect Data Domain ?

La correction consiste à mettre à jour le système vers la version 8.6.0.0 ou ultérieure. Effectuez une sauvegarde avant la mise à jour et testez la compatibilité après l'installation.

CVE-2026-28263 est-il activement exploité ?

À ce jour, il n'y a pas d'indications d'une campagne d'exploitation active, mais la vulnérabilité reste présente et potentiellement exploitable.

Où puis-je trouver l'avis officiel de Dell pour CVE-2026-28263 ?

Consultez le site web de Dell Security Advisory pour obtenir les informations les plus récentes et les détails de la correction : [https://www.dell.com/support/home/fr-fr](https://www.dell.com/support/home/fr-fr) (recherchez CVE-2026-28263).

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement Rechercher des CVE

en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

Parcourir les fichiers