プラットフォーム
dell
コンポーネント
dell-elastic-cloud-storage
修正版
4.1.0.3
4.2.0.1
Dell Elastic Cloud Storage および Dell ObjectScale に、ログファイルへの機密情報挿入の脆弱性が存在します。この脆弱性を悪用されると、ローカルアクセスを持つ攻撃者が機密情報を取得し、システムへの不正アクセスを試みる可能性があります。影響を受けるバージョンは、Dell Elastic Cloud Storage の 3.8.1.7 以前、および Dell ObjectScale の 4.1.0.3 以前、4.2.0.0 です。4.2.0.1 以降にアップデートすることでこの問題を解決できます。
この脆弱性は、ローカルアクセスを持つ攻撃者が、Dell Elastic Cloud Storage または Dell ObjectScale のログファイルに機密情報を挿入することを可能にします。挿入された機密情報には、パスワード、APIキー、認証トークンなどが含まれる可能性があります。攻撃者は、これらの情報を利用して、システムへの不正アクセスを試み、機密データへのアクセス、データの改ざん、システムの制御奪取などの攻撃を実行する可能性があります。この脆弱性は、特に機密データを扱う環境において、重大なセキュリティリスクをもたらします。攻撃者は、取得した認証情報を利用して、他のシステムへの横展開を試みる可能性も考慮する必要があります。
この脆弱性は、CISA KEV カタログに登録されていません。公開されている PoC は確認されていませんが、ローカルアクセス権限を持つ攻撃者にとって悪用が比較的容易であると考えられます。NVD (National Vulnerability Database) は 2026年4月8日に公開されました。この脆弱性は、機密情報を扱うシステムにおいて、潜在的なリスクとして認識する必要があります。
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CISA SSVC
CVSS ベクトル
Dell は、この脆弱性を修正したバージョン 4.2.0.1 以降へのアップデートを推奨しています。アップデートがすぐに利用できない場合は、ログファイルのアクセス制御を強化し、機密情報がログに記録されないように設定してください。また、ログファイルの監視を強化し、不審なアクティビティを早期に検出できるようにする必要があります。WAF (Web Application Firewall) を導入し、ログファイルへの不正なアクセスをブロックすることも有効な対策です。Dell ObjectScale の場合は、ObjectScale の設定を確認し、不要なログ記録を無効にすることを検討してください。
Aplique la actualización de seguridad DSA-2026-143 proporcionada por Dell para Dell Elastic Cloud Storage a la versión 4.1.0.3 o posterior, o para Dell ObjectScale a la versión 4.2.0.1 o posterior. Esta actualización corrige la vulnerabilidad de inserción de información confidencial en los archivos de registro.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-28261は、Dell Elastic Cloud Storage (0.0.0–4.2.0.1以降)における、ローカル攻撃者がログファイルに機密情報を挿入できる脆弱性です。
Dell Elastic Cloud Storageのバージョンが3.8.1.7以前、またはDell ObjectScaleのバージョンが4.1.0.3以前、4.2.0.0の場合は影響を受けます。
Dell Elastic Cloud Storageをバージョン4.2.0.1以降にアップデートしてください。
現時点では、公開されている悪用事例は確認されていませんが、ローカルアクセス権限を持つ攻撃者にとって悪用が比較的容易であると考えられます。
Dellの公式アドバイザリは、Dellのサポートサイトで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。