Analyse in behandelingCVE-2026-23777

CVE-2026-23777: Information Exposure in Dell PowerProtect Data Domain

Platform

linux

Component

dell-powerprotect-datadomain

Opgelost in

8.6.0.0 or later

Bekijk op NVD

Opslaan

CVE-2026-23777 describes an information exposure vulnerability present in Dell PowerProtect Data Domain. This flaw allows a low-privileged attacker with remote access to potentially retrieve sensitive data. The vulnerability impacts versions 7.7.1.0 through 8.5, LTS2025 versions 8.3.1.0 through 8.3.1.20, and LTS2024 versions 7.13.1.0 through 7.13.1.50. Dell recommends upgrading to version 8.6.0.0 or later to address this issue.

Impact en Aanvalsscenarios

Dell heeft een kwetsbaarheid voor het blootleggen van gevoelige informatie (CVE-2026-23777) in PowerProtect Data Domain geïdentificeerd. Deze kwetsbaarheid treft DD OS Feature Release versies 7.7.1.0 tot 8.5, LTS2025 release versie 8.3.1.0 tot 8.3.1.20 en LTS2024 release versies 7.13.1.0 tot 7.13.1.50. Een aanvaller met beperkte privileges en remote toegang kan deze kwetsbaarheid mogelijk uitbuiten om toegang te krijgen tot vertrouwelijke informatie. De blootlegging van gegevens kan gevoelige systeemconfiguratie-informatie of opgeslagen gegevens omvatten, waardoor de integriteit en vertrouwelijkheid van beschermde gegevens mogelijk in gevaar komt. Het is cruciaal om deze kwetsbaarheid aan te pakken om gegevens te beschermen tegen potentiële aanvallen.

Uitbuitingscontext

De kwetsbaarheid kan worden uitgebuit via remote toegang tot het PowerProtect Data Domain-systeem. Een aanvaller met beperkte privileges kan deze kwetsbaarheid gebruiken om gevoelige informatie te verkrijgen die kan worden gebruikt om privileges te escaleren of het systeem verder te compromitteren. De complexiteit van de exploitatie is relatief laag, wat aangeeft dat de kwetsbaarheid waarschijnlijk zal worden uitgebuit door aanvallers met een matig vaardigheidsniveau. De waarschijnlijkheid van exploitatie is afhankelijk van de blootstelling van het systeem en de beschikbaarheid van publieke tools of exploits.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend

CISA KEVNO

InternetblootstellingHoog

EPSS

0.01% (1% percentiel)

CVSS-vector

Wat betekenen deze metrics?

Attack Vector: Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity: Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required: Laag — elk geldig gebruikersaccount is voldoende.
User Interaction: Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope: Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality: Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity: Geen — geen integriteitsimpact.
Availability: Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentdell-powerprotect-datadomain

LeverancierDell

Minimumversie7.7.1.0

Maximumversie8.6.0.0 or later

Opgelost in8.6.0.0 or later

Zwakheidsclassificatie (CWE)

CWE-200

Tijdlijn

Gepubliceerd2026-04-17
EPSS bijgewerkt2026-04-24

Mitigatie en Workarounds

De belangrijkste mitigatie voor deze kwetsbaarheid is het upgraden naar een DD OS-versie die de correctie bevat. Dell raadt aan om te upgraden naar versie 8.6.0.0 of hoger. Daarnaast dient u de toegangs- en authenticatiebeleid te beoordelen en te versterken om de remote toegang tot PowerProtect Data Domain-systemen te beperken. Het implementeren van het principe van minimale privileges, waarbij ervoor wordt gezorgd dat gebruikers alleen toegang hebben tot de resources die ze nodig hebben om hun taken uit te voeren, is een aanbevolen praktijk. Het monitoren van systeemlogboeken op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële exploitatiepogingen.

Hoe te verhelpenwordt vertaald…

Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior, o a la versión 7.13.1.50 o posterior, o a la versión 2.7.9 con DD OS 8.3.1.30 para mitigar la vulnerabilidad de exposición de información sensible. Consulte la nota de seguridad DSA-2026-060 para obtener más detalles e instrucciones de actualización.

Veelgestelde vragen

Wat is CVE-2026-23777 in Dell PowerProtect Data Domain?

Getroffen versies zijn Feature Release 7.7.1.0 tot 8.5, LTS2025 8.3.1.0 tot 8.3.1.20 en LTS2024 7.13.1.0 tot 7.13.1.50.

Ben ik getroffen door CVE-2026-23777 in Dell PowerProtect Data Domain?

U kunt de versie van uw DD OS controleren in de beheerinterface van het systeem. Raadpleeg de Dell-documentatie voor gedetailleerde instructies.

Hoe los ik CVE-2026-23777 in Dell PowerProtect Data Domain op?

Blootgelegde informatie kan systeemconfiguratiedetails, wachtwoorden, encryptiesleutels en mogelijk opgeslagen gegevens omvatten.

Wordt CVE-2026-23777 actief misbruikt?

Als u niet onmiddellijk kunt updaten, beoordeel en versterk dan de toegangs- en authenticatiebeleid en monitor systeemlogboeken op verdachte activiteiten.

Waar vind ik het officiële Dell PowerProtect Data Domain-beveiligingsadvies voor CVE-2026-23777?

U kunt meer informatie vinden op de Dell support website en in de Dell security advisories.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen CVEs zoeken

livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

Bestanden zoeken