CVE-2026-28263: XSS in Dell PowerProtect Data Domain
Plateforme
linux
Composant
dell-powerprotect-data-domain
Corrigé dans
8.6.0.0 or later
CVE-2026-28263 describes a cross-site scripting (XSS) vulnerability present in Dell PowerProtect Data Domain. Successful exploitation could allow a high-privileged attacker with remote access to inject malicious scripts into the system. This vulnerability impacts versions 7.7.1.0 through 8.5, LTS2025 versions 8.3.1.0 through 8.3.1.20, and LTS2024 versions 7.13.1.0 through 7.13.1.50. Dell has released a patch in version 8.6.0.0 and later.
Impact et Scénarios d'Attaque
Dell a identifié une vulnérabilité de Cross-Site Scripting (XSS) dans PowerProtect Data Domain avec les versions Feature Release du DD OS 7.7.1.0 à 8.5, la version LTS2025 8.3.1.0 à 8.3.1.20 et les versions LTS2024 7.13.1.0 à 7.13.1.50. Cette vulnérabilité permet à un attaquant disposant d'un accès distant et de privilèges élevés d'injecter des scripts malveillants dans l'interface web de Data Domain. Une exploitation réussie pourrait entraîner l'exécution de code arbitraire, le vol d'informations confidentielles ou la compromission du système. Le score CVSS est de 5,9, ce qui indique un risque modéré. Il est crucial de traiter cette vulnérabilité pour protéger vos données et l'intégrité de votre infrastructure.
Contexte d'Exploitation
Un attaquant disposant d'un accès distant et de privilèges élevés peut exploiter cette vulnérabilité en injectant du code JavaScript malveillant via une entrée vulnérable dans l'interface web de Data Domain. Ce code peut être exécuté dans le navigateur d'un utilisateur légitime accédant à la page compromise, permettant à l'attaquant de voler des informations d'identification, de modifier des données ou d'effectuer d'autres actions malveillantes. La complexité de l'exploitation dépend de la configuration spécifique du système et de la présence d'autres mesures de sécurité.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Élevé — un compte administrateur ou privilégié est requis.
- User Interaction
- Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
- Scope
- Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Faible — déni de service partiel ou intermittent.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La solution pour atténuer cette vulnérabilité consiste à mettre à niveau vers la version 8.6.0.0 ou ultérieure du Data Domain Operating System (DD OS). Dell a publié cette mise à jour pour corriger la vulnérabilité XSS. Il est recommandé d'appliquer la mise à jour dès que possible, en suivant les meilleures pratiques en matière de gestion du changement et de tests dans un environnement de non-production avant la mise en œuvre en production. De plus, la mise en œuvre de contrôles d'accès stricts et la surveillance de l'activité du système peuvent aider à détecter et à prévenir les attaques potentielles. Consultez la base de connaissances Dell pour obtenir des instructions détaillées sur la manière d'appliquer la mise à jour et pour plus d'informations sur la vulnérabilité.
Comment corrigertraduction en cours…
Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior para LTS2025, o a la versión 7.13.1.50 o posterior para LTS2024. Consulte la nota de Dell Security Advisory DSA-2026-060 para obtener más detalles e instrucciones de actualización.
Questions fréquentes
Qu'est-ce que CVE-2026-28263 — Cross-Site Scripting (XSS) dans Dell PowerProtect Data Domain ?
Le XSS est un type de vulnérabilité de sécurité web qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Suis-je affecté(e) par CVE-2026-28263 dans Dell PowerProtect Data Domain ?
Les versions concernées sont DD OS 7.7.1.0 à 8.5, LTS2025 8.3.1.0 à 8.3.1.20 et LTS2024 7.13.1.0 à 7.13.1.50.
Comment corriger CVE-2026-28263 dans Dell PowerProtect Data Domain ?
Vous pouvez vérifier la version du DD OS dans l'interface d'administration de Data Domain. Comparez la version avec les versions corrigées mentionnées dans l'avis de sécurité de Dell.
CVE-2026-28263 est-il activement exploité ?
Mettez en œuvre des contrôles d'accès stricts et surveillez l'activité du système pour détecter les attaques potentielles. Envisagez d'appliquer des solutions de contournement temporaires si elles sont disponibles.
Où trouver l'avis officiel de Dell PowerProtect Data Domain pour CVE-2026-28263 ?
Consultez la base de connaissances Dell pour plus d'informations sur la vulnérabilité et les instructions de mise à jour.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...