प्लेटफ़ॉर्म
dell
घटक
dell-powerprotect-data-domain
में ठीक किया गया
8.6.0.0
8.6.0.0
8.6.0.0
Dell PowerProtect Data Domain में एक अनुचित प्रमाणपत्र सत्यापन भेद्यता पाई गई है, जो विशेषाधिकारों को बढ़ाने की अनुमति दे सकती है। यह भेद्यता DD OS के फीचर रिलीज़ संस्करण 7.7.1.0 से 8.5, LTS2025 रिलीज़ संस्करण 8.3.1.0 से 8.3.1.20, और LTS2024 रिलीज़ संस्करण 7.13.1.0 से 7.13.1.60 तक प्रभावित करती है। 8.6.0.0 या बाद के संस्करण में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को प्रमाणपत्र-आधारित लॉगिन प्रक्रिया में कमजोरियों का फायदा उठाने की अनुमति देती है। एक सफल शोषण से हमलावर को सिस्टम पर उच्च विशेषाधिकार प्राप्त हो सकते हैं, जिससे संवेदनशील डेटा तक अनधिकृत पहुँच, सिस्टम कॉन्फ़िगरेशन में बदलाव या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। चूंकि भेद्यता दूरस्थ पहुँच के माध्यम से शोषण योग्य है, इसलिए यह उन संगठनों के लिए विशेष रूप से चिंताजनक है जिनके पास इंटरनेट पर उजागर Data Domain सिस्टम हैं। यह भेद्यता अन्य प्रणालियों में आगे बढ़ने के लिए एक प्रारंभिक बिंदु के रूप में भी काम कर सकती है, जिससे संभावित रूप से पूरे नेटवर्क पर प्रभाव पड़ सकता है।
CVE-2026-23776 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और दूरस्थ शोषण क्षमता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य हो सकता है। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं। CISA ने इस CVE को अपनी ज्ञात भेद्यता सूची (KEV) में शामिल नहीं किया है।
Organizations heavily reliant on Dell PowerProtect Data Domain for data protection and disaster recovery are at significant risk. Specifically, environments with legacy DD OS versions (7.7.1.0–8.5) and those with less stringent certificate management practices are particularly vulnerable. Shared hosting environments utilizing Data Domain appliances also face increased risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u dd-authd -g 'certificate validation failed'• linux / server:
ps aux | grep -i certificate_validation• generic web:
curl -I <data_domain_ip>/login.jsp | grep 'Certificate-Transparent'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
Dell PowerProtect Data Domain को 8.6.0.0 या बाद के संस्करण में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि तत्काल अपग्रेड संभव नहीं है, तो प्रमाणपत्र सत्यापन प्रक्रिया को सख्त करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। इसमें केवल विश्वसनीय प्रमाणपत्रों को स्वीकार करना, प्रमाणपत्रों की वैधता अवधि को सीमित करना और मजबूत प्रमाणीकरण तंत्र का उपयोग करना शामिल है। WAF (वेब एप्लीकेशन फ़ायरवॉल) नियमों को कॉन्फ़िगर किया जा सकता है ताकि संदिग्ध प्रमाणपत्र सत्यापन अनुरोधों को ब्लॉक किया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए प्रमाणपत्र सत्यापन प्रक्रिया का परीक्षण करें कि यह ठीक से काम कर रही है और कोई अनपेक्षित दुष्प्रभाव नहीं हैं।
Dell ने PowerProtect Data Domain के लिए एक सुरक्षा अपडेट (DSA-2026-060) जारी किया है। प्रमाणपत्र-आधारित लॉगिन में अनुचित प्रमाणपत्र सत्यापन भेद्यता को कम करने के लिए संस्करण 8.6.0.0 या बाद के संस्करण में अपडेट लागू करें। अपडेट लागू करने के बारे में विस्तृत निर्देशों के लिए Dell के दस्तावेज़ देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-23776 Dell PowerProtect Data Domain में एक भेद्यता है जो हमलावरों को अनुचित प्रमाणपत्र सत्यापन के माध्यम से विशेषाधिकार बढ़ाने की अनुमति देती है।
यदि आप Dell PowerProtect Data Domain के संस्करण 7.7.1.0 से 8.6.0.0 तक उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए Dell PowerProtect Data Domain को संस्करण 8.6.0.0 या बाद के संस्करण में अपग्रेड करें।
CVE-2026-23776 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह संभावित रूप से शोषण के लिए एक लक्ष्य हो सकता है।
आप Dell की सुरक्षा सलाहकार वेबसाइट पर CVE-2026-23776 के लिए आधिकारिक सलाहकार पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।