CVE-2026-28263: XSS in Dell PowerProtect Data Domain
Plataforma
linux
Componente
dell-powerprotect-data-domain
Corrigido em
8.6.0.0 or later
CVE-2026-28263 describes a cross-site scripting (XSS) vulnerability present in Dell PowerProtect Data Domain. Successful exploitation could allow a high-privileged attacker with remote access to inject malicious scripts into the system. This vulnerability impacts versions 7.7.1.0 through 8.5, LTS2025 versions 8.3.1.0 through 8.3.1.20, and LTS2024 versions 7.13.1.0 through 7.13.1.50. Dell has released a patch in version 8.6.0.0 and later.
Impacto e Cenários de Ataque
A Dell identificou uma vulnerabilidade de Cross-Site Scripting (XSS) no PowerProtect Data Domain com versões do DD OS Feature Release de 7.7.1.0 a 8.5, versão LTS2025 8.3.1.0 a 8.3.1.20 e versões LTS2024 7.13.1.0 a 7.13.1.50. Esta vulnerabilidade permite que um atacante com privilégios elevados e acesso remoto injete scripts maliciosos na interface web do Data Domain. A exploração bem-sucedida pode resultar na execução de código arbitrário, roubo de informações confidenciais ou comprometimento do sistema. O score CVSS é de 5,9, indicando um risco moderado. Abordar esta vulnerabilidade é crucial para proteger seus dados e a integridade da sua infraestrutura.
Contexto de Exploração
Um atacante com acesso remoto e privilégios elevados pode explorar esta vulnerabilidade injetando código JavaScript malicioso por meio de uma entrada vulnerável na interface web do Data Domain. Este código pode ser executado no navegador de um usuário legítimo que acesse a página comprometida, permitindo que o atacante roube credenciais, modifique dados ou execute outras ações maliciosas. A complexidade da exploração depende da configuração específica do sistema e da presença de outras medidas de segurança.
Inteligência de Ameaças
Status do Exploit
EPSS
0.01% (percentil 1%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Alto — conta de administrador ou privilegiada necessária.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Baixo — acesso parcial ou indireto a alguns dados.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Baixo — negação de serviço parcial ou intermitente.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A solução para mitigar esta vulnerabilidade é atualizar para a versão 8.6.0.0 ou posterior do Data Domain Operating System (DD OS). A Dell lançou esta atualização para corrigir a vulnerabilidade XSS. Recomenda-se aplicar a atualização o mais rápido possível, seguindo as melhores práticas para gerenciamento de mudanças e testes em um ambiente de não produção antes da implementação em produção. Além disso, implementar controles de acesso rigorosos e monitorar a atividade do sistema pode ajudar a detectar e prevenir possíveis ataques. Consulte a Knowledge Base da Dell para obter instruções detalhadas sobre como aplicar a atualização e obter mais informações sobre a vulnerabilidade.
Como corrigirtraduzindo…
Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior para LTS2025, o a la versión 7.13.1.50 o posterior para LTS2024. Consulte la nota de Dell Security Advisory DSA-2026-060 para obtener más detalles e instrucciones de actualización.
Perguntas frequentes
O que é CVE-2026-28263 — Cross-Site Scripting (XSS) em Dell PowerProtect Data Domain?
XSS é um tipo de vulnerabilidade de segurança web que permite que atacantes injetem scripts maliciosos em páginas web visualizadas por outros usuários.
Estou afetado pelo CVE-2026-28263 no Dell PowerProtect Data Domain?
As versões afetadas são DD OS 7.7.1.0 a 8.5, LTS2025 8.3.1.0 a 8.3.1.20 e LTS2024 7.13.1.0 a 7.13.1.50.
Como corrijo o CVE-2026-28263 no Dell PowerProtect Data Domain?
Você pode verificar a versão do DD OS na interface de administração do Data Domain. Compare a versão com as versões corrigidas mencionadas no aviso de segurança da Dell.
O CVE-2026-28263 está sendo explorado ativamente?
Implemente controles de acesso rigorosos e monitore a atividade do sistema para detectar possíveis ataques. Considere aplicar soluções alternativas temporárias, se disponíveis.
Onde encontro o aviso oficial do Dell PowerProtect Data Domain para o CVE-2026-28263?
Consulte a Knowledge Base da Dell para obter mais informações sobre a vulnerabilidade e as instruções de atualização.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...