प्लेटफ़ॉर्म
dell
घटक
dell-powerprotect-datadomain
में ठीक किया गया
8.6.0.0
8.3.1.20
7.13.1.50
CVE-2026-23779 describes a command injection vulnerability discovered in Dell PowerProtect Data Domain. This flaw allows a high-privileged attacker with local access to potentially escalate privileges and gain root-level control over the system. The vulnerability impacts versions 7.7.1.0 through 8.5, LTS2025 versions 8.3.1.0 through 8.3.1.20, and LTS2024 versions 7.13.1.0 through 7.13.1.50. Dell recommends upgrading to version 8.6.0.0 or later to address this security concern.
डेल ने PowerProtect Data Domain में एक कमांड इंजेक्शन भेद्यता (CVE-2026-23779) की पहचान की है। यह भेद्यता DD OS फीचर रिलीज़ संस्करण 7.7.1.0 से 8.5, LTS2025 रिलीज़ संस्करण 8.3.1.0 से 8.3.1.20 और LTS2024 रिलीज़ संस्करण 7.13.1.0 से 7.13.1.50 को प्रभावित करती है। स्थानीय पहुंच वाले उच्च विशेषाधिकार वाले हमलावर इस भेद्यता का फायदा उठाकर सिस्टम तक रूट-स्तरीय पहुंच प्राप्त कर सकते हैं। इससे हमलावर मनमाना कमांड निष्पादित करने, संवेदनशील डेटा तक पहुंचने और Data Domain सिस्टम की अखंडता को खतरे में डालने में सक्षम हो सकता है। इस भेद्यता की गंभीरता को CVSS पैमाने पर 6.7 के रूप में रेट किया गया है।
यह भेद्यता कुछ कमांड में उपयोगकर्ता इनपुट के अपर्याप्त सत्यापन के कारण उत्पन्न होती है। स्थानीय पहुंच वाले हमलावर, जैसे कि उन्नत विशेषाधिकार वाले व्यवस्थापक, इस इनपुट में हेरफेर करके सिस्टम पर मनमाना कमांड निष्पादित कर सकते हैं। शोषण की सफलता हमलावर की Data Domain सिस्टम तक स्थानीय पहुंच प्राप्त करने की क्षमता पर निर्भर करती है। शोषण की जटिलता अपेक्षाकृत कम है, क्योंकि इसके लिए गहन सिस्टम ज्ञान की आवश्यकता नहीं होती है, लेकिन दूरस्थ या भौतिक पहुंच के लिए मान्य क्रेडेंशियल की आवश्यकता होती है।
Organizations heavily reliant on Dell PowerProtect Data Domain for data protection and backup are at significant risk. This includes those with legacy deployments of affected versions, environments with inadequate access controls, and those lacking robust monitoring and patching processes. Shared hosting environments utilizing Data Domain appliances are also particularly vulnerable due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u dd-os | grep -i "command injection"• linux / server:
ps aux | grep -i "malicious_command"• linux / server:
find / -name "vulnerable_script.sh" -printdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
डेल PowerProtect Data Domain ऑपरेटिंग सिस्टम (DD OS) को संस्करण 8.6.0.0 या बाद के संस्करण में अपडेट करने की पुरजोर सिफारिश करता है ताकि इस भेद्यता को कम किया जा सके। इस अपडेट में कमांड इंजेक्शन को रोकने के लिए आवश्यक फिक्स शामिल हैं। यदि तत्काल अपडेट संभव नहीं है, तो डेल Data Domain सिस्टम तक स्थानीय पहुंच को सीमित करने और मौजूदा सुरक्षा उपायों को मजबूत करने के लिए सुरक्षा दिशानिर्देशों और सर्वोत्तम प्रथाओं की समीक्षा करने की सिफारिश करता है। अपडेट और कार्यान्वयन निर्देशों के बारे में अधिक जानकारी के लिए डेल सपोर्ट पेज देखें। इस भेद्यता से संबंधित कोई विशिष्ट KEV (डेल नॉलेज बेस आर्टिकल) नहीं है, लेकिन डेल स्थिति की निगरानी कर रहा है और आवश्यकता पड़ने पर अपडेट प्रदान करेगा।
Dell ha publicado una actualización de seguridad (DSA-2026-060) para PowerProtect Data Domain que corrige esta vulnerabilidad de inyección de comandos. Se recomienda aplicar la actualización a la versión 8.6.0.0 o posterior, o a las versiones especificadas en el aviso de seguridad de Dell.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
DD OS फीचर रिलीज़ संस्करण 7.7.1.0 से 8.5, LTS2025 रिलीज़ संस्करण 8.3.1.0 से 8.3.1.20 और LTS2024 रिलीज़ संस्करण 7.13.1.0 से 7.13.1.50 प्रभावित हैं।
सॉफ्टवेयर संस्करण को सत्यापित करने के लिए डेल दस्तावेज़ या Data Domain सिस्टम के प्रशासन इंटरफ़ेस से परामर्श करें।
वर्तमान में इस भेद्यता के लिए कोई विशिष्ट KEV नहीं है, लेकिन डेल स्थिति की निगरानी कर रहा है।
अतिरिक्त सुरक्षा उपाय लागू करें, जैसे कि स्थानीय पहुंच को सीमित करना और पासवर्ड नीतियों को मजबूत करना।
अधिक जानकारी और कार्यान्वयन निर्देशों के लिए डेल सपोर्ट पेज पर जाएं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।