CVE-2026-28263: XSS in Dell PowerProtect Data Domain
プラットフォーム
linux
コンポーネント
dell-powerprotect-data-domain
修正版
8.6.0.0 or later
CVE-2026-28263 describes a cross-site scripting (XSS) vulnerability present in Dell PowerProtect Data Domain. Successful exploitation could allow a high-privileged attacker with remote access to inject malicious scripts into the system. This vulnerability impacts versions 7.7.1.0 through 8.5, LTS2025 versions 8.3.1.0 through 8.3.1.20, and LTS2024 versions 7.13.1.0 through 7.13.1.50. Dell has released a patch in version 8.6.0.0 and later.
影響と攻撃シナリオ
デルは、PowerProtect Data DomainのDD OS Feature Releaseバージョン7.7.1.0から8.5、LTS2025リリースバージョン8.3.1.0から8.3.1.20、およびLTS2024リリースバージョン7.13.1.0から7.13.1.50において、クロスサイトスクリプティング(XSS)の脆弱性を特定しました。この脆弱性により、リモートアクセスと高権限を持つ攻撃者は、Data DomainのWebインターフェースに悪意のあるスクリプトを注入できる可能性があります。攻撃が成功した場合、任意のコードの実行、機密情報の窃盗、またはシステムの侵害につながる可能性があります。CVSSスコアは5.9で、中程度のリスクを示しています。この脆弱性に対処し、データとインフラストラクチャの整合性を保護することが重要です。
悪用の状況
リモートアクセスと高権限を持つ攻撃者は、Data DomainのWebインターフェースの脆弱な入力経由で悪意のあるJavaScriptコードを注入することで、この脆弱性を悪用する可能性があります。このコードは、侵害されたページにアクセスする正規のユーザーのブラウザで実行され、攻撃者が認証情報を盗んだり、データを変更したり、その他の悪意のあるアクションを実行したりする可能性があります。エクスプロイトの複雑さは、特定のシステム構成と他のセキュリティ対策の存在によって異なります。
脅威インテリジェンス
エクスプロイト状況
EPSS
0.01% (1% パーセンタイル)
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- 高 — 管理者または特権アカウントが必要。
- User Interaction
- 必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
- Scope
- 変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
- Confidentiality
- 低 — 一部データへの部分的アクセス。
- Integrity
- 低 — 限定的な範囲でデータ変更可能。
- Availability
- 低 — 部分的または断続的なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 公開日
- 更新日
- EPSS 更新日
緩和策と回避策
この脆弱性を軽減するための解決策は、Data Domain Operating System(DD OS)のバージョン8.6.0.0以降にアップグレードすることです。デルはこの更新プログラムをリリースし、XSS脆弱性を修正しました。本番環境に実装する前に、変更管理のベストプラクティスに従って、非本番環境でテストしながら、できるだけ早く更新プログラムを適用することをお勧めします。さらに、厳格なアクセス制御を実装し、システムアクティビティを監視することで、潜在的な攻撃を検出および防止するのに役立ちます。更新プログラムの適用方法に関する詳細な手順と、この脆弱性に関する詳細については、デルのナレッジベースを参照してください。
修正方法翻訳中…
Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior para LTS2025, o a la versión 7.13.1.50 o posterior para LTS2024. Consulte la nota de Dell Security Advisory DSA-2026-060 para obtener más detalles e instrucciones de actualización.
よくある質問
CVE-2026-28263 とは何ですか?(Dell PowerProtect Data Domain の Cross-Site Scripting (XSS))
XSSは、攻撃者が他のユーザーが閲覧するWebページに悪意のあるスクリプトを注入できるWebセキュリティの脆弱性の種類です。
Dell PowerProtect Data Domain の CVE-2026-28263 による影響を受けていますか?
影響を受けるバージョンは、DD OS 7.7.1.0から8.5、LTS2025 8.3.1.0から8.3.1.20、およびLTS2024 7.13.1.0から7.13.1.50です。
Dell PowerProtect Data Domain の CVE-2026-28263 を修正するにはどうすればよいですか?
Data Domain管理インターフェースでDD OSバージョンを確認できます。デルのセキュリティアドバイザリーに記載されているパッチが適用されたバージョンと比較してください。
CVE-2026-28263 は積極的に悪用されていますか?
潜在的な攻撃を検出するために、厳格なアクセス制御を実装し、システムアクティビティを監視します。利用可能な場合は、一時的な回避策を適用することを検討してください。
CVE-2026-28263 に関する Dell PowerProtect Data Domain の公式アドバイザリはどこで確認できますか?
脆弱性と更新手順に関する詳細については、デルのナレッジベースを参照してください。
今すぐ試す — アカウント不要
Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
依存関係ファイルをドラッグ&ドロップ
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...