CVE-2026-23777: Information Exposure in Dell PowerProtect Data Domain
Plataforma
linux
Componente
dell-powerprotect-datadomain
Corrigido em
8.6.0.0 or later
CVE-2026-23777 describes an information exposure vulnerability present in Dell PowerProtect Data Domain. This flaw allows a low-privileged attacker with remote access to potentially retrieve sensitive data. The vulnerability impacts versions 7.7.1.0 through 8.5, LTS2025 versions 8.3.1.0 through 8.3.1.20, and LTS2024 versions 7.13.1.0 through 7.13.1.50. Dell recommends upgrading to version 8.6.0.0 or later to address this issue.
Impacto e Cenários de Ataque
A Dell identificou uma vulnerabilidade de exposição de informações sensíveis (CVE-2026-23777) no PowerProtect Data Domain. Esta vulnerabilidade afeta as versões de DD OS Feature Release 7.7.1.0 a 8.5, LTS2025 8.3.1.0 a 8.3.1.20 e LTS2024 7.13.1.0 a 7.13.1.50. Um atacante com acesso remoto e privilégios baixos pode potencialmente explorar esta vulnerabilidade para acessar informações confidenciais. A exposição de dados pode incluir informações sensíveis de configuração do sistema ou dados armazenados, o que pode comprometer a integridade e a confidencialidade dos dados protegidos. É crucial abordar esta vulnerabilidade para proteger os dados de possíveis ataques.
Contexto de Exploração
A vulnerabilidade pode ser explorada através do acesso remoto ao sistema PowerProtect Data Domain. Um atacante com privilégios baixos pode usar esta vulnerabilidade para obter informações sensíveis que podem ser usadas para elevar privilégios ou comprometer ainda mais o sistema. A complexidade da exploração é relativamente baixa, o que significa que é provável que a vulnerabilidade seja explorada por atacantes com um nível de habilidade moderado. A probabilidade de exploração depende da exposição do sistema e da disponibilidade de ferramentas ou exploits públicos.
Inteligência de Ameaças
Status do Exploit
EPSS
0.01% (percentil 1%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Baixo — acesso parcial ou indireto a alguns dados.
- Integrity
- Nenhum — sem impacto na integridade.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- EPSS atualizado
Mitigação e Soluções Alternativas
A principal mitigação para esta vulnerabilidade é atualizar para uma versão de DD OS que inclua a correção. A Dell recomenda atualizar para a versão 8.6.0.0 ou posterior. Além disso, revise e fortaleça as políticas de acesso e autenticação para limitar o acesso remoto aos sistemas PowerProtect Data Domain. Implementar o princípio do menor privilégio, garantindo que os usuários tenham acesso apenas aos recursos de que precisam para realizar suas tarefas, é uma prática recomendada. Monitorar os logs do sistema em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis tentativas de exploração.
Como corrigirtraduzindo…
Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior, o a la versión 7.13.1.50 o posterior, o a la versión 2.7.9 con DD OS 8.3.1.30 para mitigar la vulnerabilidad de exposición de información sensible. Consulte la nota de seguridad DSA-2026-060 para obtener más detalles e instrucciones de actualización.
Perguntas frequentes
O que é CVE-2026-23777 em Dell PowerProtect Data Domain?
As versões afetadas são Feature Release 7.7.1.0 a 8.5, LTS2025 8.3.1.0 a 8.3.1.20 e LTS2024 7.13.1.0 a 7.13.1.50.
Estou afetado pelo CVE-2026-23777 no Dell PowerProtect Data Domain?
Você pode verificar a versão do seu DD OS na interface de administração do sistema. Consulte a documentação da Dell para obter instruções detalhadas.
Como corrijo o CVE-2026-23777 no Dell PowerProtect Data Domain?
A informação exposta pode incluir detalhes de configuração do sistema, senhas, chaves de criptografia e, potencialmente, dados armazenados.
O CVE-2026-23777 está sendo explorado ativamente?
Se não puder atualizar imediatamente, revise e fortaleça as políticas de acesso e autenticação e monitore os logs do sistema em busca de atividades suspeitas.
Onde encontro o aviso oficial do Dell PowerProtect Data Domain para o CVE-2026-23777?
Você pode encontrar mais informações no site de suporte da Dell e nos avisos de segurança da Dell.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...