CVE-2026-23777: 情報漏えい in Dell PowerProtect Data Domain
プラットフォーム
linux
コンポーネント
dell-powerprotect-datadomain
修正版
8.6.0.0 or later
Dell PowerProtect Data Domainのオペレーティングシステム(DD OS)において、機密情報が不正な攻撃者に露出される脆弱性が確認されました。この脆弱性を悪用されると、攻撃者は機密情報を窃取する可能性があります。影響を受けるバージョンは、Feature Releaseバージョン7.7.1.0から8.5、LTS2025リリースバージョン8.3.1.0から8.3.1.20、LTS2024リリースバージョン7.13.1.0から7.13.1.50です。8.6.0.0以降にアップグレードすることで修正されます。
影響と攻撃シナリオ
この脆弱性は、リモートアクセス可能な低権限の攻撃者が悪用することで、機密情報を漏洩させる可能性があります。漏洩する可能性のある情報には、システム構成情報、ユーザー認証情報、保存されているデータなどが含まれます。攻撃者は、この情報を利用して、システムへの更なる侵入を試みたり、他のシステムへの攻撃の足がかりにしたりする可能性があります。類似の脆弱性では、攻撃者が機密情報を窃取し、それを脅迫材料として利用するケースも報告されています。この脆弱性の影響範囲は、機密情報が漏洩した範囲に限定されますが、漏洩した情報の内容によっては、組織の評判を損なう、法的責任を問われるなどの重大な影響を及ぼす可能性があります。
悪用の状況
この脆弱性は、2026年4月17日に公開されました。KEV(Kernel Exploitability Vulnerability)への登録状況は不明です。EPSS(Exploit Prediction Scoring System)スコアは、現時点では評価されていません。公的に利用可能なPoC(Proof of Concept)コードは確認されていませんが、リモートアクセス可能な低権限の攻撃者が悪用できることから、攻撃の可能性は低いと評価されます。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を参照し、最新の動向を把握することが重要です。
脅威インテリジェンス
エクスプロイト状況
EPSS
0.01% (1% パーセンタイル)
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- 低 — 有効なユーザーアカウントがあれば十分。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化なし — 影響は脆弱なコンポーネントのみ。
- Confidentiality
- 低 — 一部データへの部分的アクセス。
- Integrity
- なし — 完全性への影響なし。
- Availability
- なし — 可用性への影響なし。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 公開日
- EPSS 更新日
緩和策と回避策
Dell PowerProtect Data Domainのバージョンを8.6.0.0以降にアップグレードすることが、この脆弱性に対する最も効果的な対策です。アップグレードが困難な場合は、ネットワークセグメンテーションを実施し、Data Domainへのアクセスを制限することを検討してください。また、WAF(Web Application Firewall)やプロキシサーバーを導入し、不正なアクセスを検知・遮断するルールを設定することも有効です。Data Domainのログを監視し、異常なアクセスや活動がないか定期的に確認することも重要です。アップグレード後、システムが正常に動作していることを確認し、機密情報が漏洩していないことを検証してください。
修正方法翻訳中…
Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior, o a la versión 7.13.1.50 o posterior, o a la versión 2.7.9 con DD OS 8.3.1.30 para mitigar la vulnerabilidad de exposición de información sensible. Consulte la nota de seguridad DSA-2026-060 para obtener más detalles e instrucciones de actualización.
よくある質問
CVE-2026-23777 — 情報漏えい in Dell PowerProtect Data Domainとは何ですか?
Dell PowerProtect Data Domainのオペレーティングシステム(DD OS)において、リモートアクセス可能な攻撃者が機密情報を漏洩させる可能性がある脆弱性です。バージョン7.7.1.0~8.6.0.0が影響を受けます。
CVE-2026-23777 in Dell PowerProtect Data Domainの影響を受けていますか?
Dell PowerProtect Data Domainのバージョンが7.7.1.0から8.6.0.0の範囲にある場合、影響を受けている可能性があります。バージョンを確認し、必要に応じてアップグレードしてください。
CVE-2026-23777 in Dell PowerProtect Data Domainを修正するにはどうすればよいですか?
Dell PowerProtect Data Domainのバージョンを8.6.0.0以降にアップグレードしてください。アップグレードが難しい場合は、ネットワークセグメンテーションやWAFの導入などの緩和策を検討してください。
CVE-2026-23777は積極的に悪用されていますか?
現時点では、公的に利用可能なPoCコードは確認されていません。しかし、リモートアクセス可能な低権限の攻撃者が悪用できる可能性があるため、注意が必要です。
CVE-2026-23777に関するDellの公式アドバイザリはどこで入手できますか?
Dellのサポートサイトで、CVE-2026-23777に関する公式アドバイザリをご確認ください。Dellのセキュリティアドバイザリページを参照してください。
今すぐ試す — アカウント不要
Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
依存関係ファイルをドラッグ&ドロップ
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...