CVE-2026-28263: XSS in Dell PowerProtect Data Domain
Platform
linux
Component
dell-powerprotect-data-domain
Opgelost in
8.6.0.0 or later
CVE-2026-28263 describes a cross-site scripting (XSS) vulnerability present in Dell PowerProtect Data Domain. Successful exploitation could allow a high-privileged attacker with remote access to inject malicious scripts into the system. This vulnerability impacts versions 7.7.1.0 through 8.5, LTS2025 versions 8.3.1.0 through 8.3.1.20, and LTS2024 versions 7.13.1.0 through 7.13.1.50. Dell has released a patch in version 8.6.0.0 and later.
Impact en Aanvalsscenarios
Dell heeft een Cross-Site Scripting (XSS) kwetsbaarheid geïdentificeerd in PowerProtect Data Domain met DD OS Feature Release versies 7.7.1.0 tot 8.5, LTS2025 release versie 8.3.1.0 tot 8.3.1.20 en LTS2024 release versies 7.13.1.0 tot 7.13.1.50. Deze kwetsbaarheid stelt een aanvaller met remote toegang en verhoogde privileges in staat om kwaadaardige scripts in de Data Domain webinterface te injecteren. Een succesvolle exploitatie kan leiden tot de uitvoering van willekeurige code, diefstal van vertrouwelijke informatie of een systeemcompromis. De CVSS score is 5.9, wat een matig risico aangeeft. Het is cruciaal om deze kwetsbaarheid aan te pakken om uw gegevens en de integriteit van uw infrastructuur te beschermen.
Uitbuitingscontext
Een aanvaller met remote toegang en verhoogde privileges kan deze kwetsbaarheid exploiteren door kwaadaardige JavaScript-code te injecteren via een kwetsbare invoer in de Data Domain webinterface. Deze code kan worden uitgevoerd in de browser van een legitieme gebruiker die de gecompromitteerde pagina bezoekt, waardoor de aanvaller inloggegevens kan stelen, gegevens kan wijzigen of andere kwaadaardige acties kan uitvoeren. De complexiteit van de exploitatie hangt af van de specifieke systeemconfiguratie en de aanwezigheid van andere beveiligingsmaatregelen.
Dreigingsinformatie
Exploit Status
EPSS
0.01% (1% percentiel)
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Hoog — beheerder of geprivilegieerd account vereist.
- User Interaction
- Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
- Scope
- Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
- Confidentiality
- Laag — gedeeltelijke toegang tot enkele gegevens.
- Integrity
- Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
- Availability
- Laag — gedeeltelijke of intermitterende denial of service.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De oplossing om deze kwetsbaarheid te mitigeren is om te upgraden naar versie 8.6.0.0 of hoger van het Data Domain Operating System (DD OS). Dell heeft deze update uitgebracht om de XSS kwetsbaarheid te verhelpen. Het wordt aanbevolen om de update zo snel mogelijk toe te passen, waarbij u de beste praktijken volgt voor change management en testen in een niet-productie omgeving voordat u deze in productie implementeert. Daarnaast kan het implementeren van strikte toegangscontroles en het monitoren van systeemactiviteit helpen om potentiële aanvallen te detecteren en te voorkomen. Raadpleeg de Dell Knowledge Base voor gedetailleerde instructies over het toepassen van de update en voor meer informatie over de kwetsbaarheid.
Hoe te verhelpenwordt vertaald…
Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior para LTS2025, o a la versión 7.13.1.50 o posterior para LTS2024. Consulte la nota de Dell Security Advisory DSA-2026-060 para obtener más detalles e instrucciones de actualización.
Veelgestelde vragen
Wat is CVE-2026-28263 — Cross-Site Scripting (XSS) in Dell PowerProtect Data Domain?
XSS is een type webbeveiligingskwetsbaarheid die het aanvallers mogelijk maakt om kwaadaardige scripts in webpagina's te injecteren die door andere gebruikers worden bekeken.
Ben ik getroffen door CVE-2026-28263 in Dell PowerProtect Data Domain?
Getroffen versies zijn DD OS 7.7.1.0 tot 8.5, LTS2025 8.3.1.0 tot 8.3.1.20 en LTS2024 7.13.1.0 tot 7.13.1.50.
Hoe los ik CVE-2026-28263 in Dell PowerProtect Data Domain op?
U kunt de DD OS versie controleren in de Data Domain beheerinterface. Vergelijk de versie met de gepatchte versies die worden genoemd in het Dell beveiligingsadvies.
Wordt CVE-2026-28263 actief misbruikt?
Implementeer strikte toegangscontroles en monitor systeemactiviteit om potentiële aanvallen te detecteren. Overweeg om tijdelijke workarounds toe te passen als deze beschikbaar zijn.
Waar vind ik het officiële Dell PowerProtect Data Domain-beveiligingsadvies voor CVE-2026-28263?
Raadpleeg de Dell Knowledge Base voor meer informatie over de kwetsbaarheid en update-instructies.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Probeer het nu — geen account
Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.
Sleep uw afhankelijkheidsbestand hierheen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...