CVE-2026-23777: Exposição de Informações em Dell PowerProtect Data Domain
Plataforma
linux
Componente
dell-powerprotect-datadomain
Corrigido em
8.6.0.0 or later
A vulnerabilidade CVE-2026-23777 afeta o Dell PowerProtect Data Domain, permitindo a exposição de informações sensíveis a um ator não autorizado. Um atacante com acesso remoto e privilégios limitados pode explorar essa falha, comprometendo a confidencialidade dos dados armazenados. As versões afetadas incluem 7.7.1.0 até 8.5, LTS2025 8.3.1.0 a 8.3.1.20 e LTS2024 7.13.1.0 a 7.13.1.50. A Dell disponibilizou uma correção na versão 8.6.0.0 ou posterior.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade pode levar à divulgação de dados confidenciais armazenados no Dell PowerProtect Data Domain. Um atacante poderia obter acesso a informações de clientes, dados financeiros, informações de propriedade intelectual ou outros dados sensíveis, dependendo da configuração e dos dados armazenados no sistema. A exposição de dados pode resultar em danos à reputação, perdas financeiras, violações de conformidade regulatória e potenciais ações judiciais. Embora a vulnerabilidade exija acesso remoto, a facilidade de exploração, mesmo com privilégios limitados, aumenta o risco de comprometimento, especialmente em ambientes com controles de acesso inadequados ou sistemas mal configurados.
Contexto de Exploração
A Dell publicou a correção para CVE-2026-23777 em 17 de abril de 2026. A vulnerabilidade não está listada no KEV (Kernel Exploit Vulnerability Database) no momento da publicação. A pontuação CVSS de 4.3 (Médio) indica uma probabilidade moderada de exploração, dependendo da facilidade de acesso ao sistema e da existência de ferramentas de exploração disponíveis. Não há relatos públicos de campanhas de exploração ativas relacionadas a esta vulnerabilidade no momento da publicação, mas a natureza da vulnerabilidade (exposição de informações) a torna um alvo potencial para atacantes.
Inteligência de Ameaças
Status do Exploit
EPSS
0.01% (percentil 1%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Baixo — acesso parcial ou indireto a alguns dados.
- Integrity
- Nenhum — sem impacto na integridade.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária para CVE-2026-23777 é a atualização para a versão 8.6.0.0 ou posterior do Dell PowerProtect Data Domain. Se a atualização imediata não for possível, considere implementar controles de acesso mais rigorosos para restringir o acesso remoto ao sistema. Implemente regras de firewall para limitar o tráfego de rede para o Data Domain apenas às fontes necessárias. Monitore logs de auditoria em busca de atividades suspeitas, como tentativas de acesso não autorizado. A Dell recomenda revisar as melhores práticas de segurança para o PowerProtect Data Domain para garantir uma configuração segura. Após a atualização, confirme a correção verificando os logs do sistema em busca de erros relacionados à vulnerabilidade e realizando testes de penetração para validar a eficácia da correção.
Como corrigirtraduzindo…
Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior, o a la versión 7.13.1.50 o posterior, o a la versión 2.7.9 con DD OS 8.3.1.30 para mitigar la vulnerabilidad de exposición de información sensible. Consulte la nota de seguridad DSA-2026-060 para obtener más detalles e instrucciones de actualización.
Perguntas frequentes
O que é CVE-2026-23777 — Exposição de Informações em Dell PowerProtect Data Domain?
CVE-2026-23777 é uma vulnerabilidade que permite a exposição de dados sensíveis em sistemas Dell PowerProtect Data Domain, permitindo que um atacante remoto de baixo privilégio acesse informações confidenciais.
Estou afetado por CVE-2026-23777 em Dell PowerProtect Data Domain?
Se você estiver utilizando o Dell PowerProtect Data Domain nas versões 7.7.1.0–8.5, LTS2025 8.3.1.0 a 8.3.1.20 ou LTS2024 7.13.1.0 a 7.13.1.50, você está potencialmente afetado por esta vulnerabilidade.
Como corrigir CVE-2026-23777 em Dell PowerProtect Data Domain?
A correção é atualizar para a versão 8.6.0.0 ou posterior do Dell PowerProtect Data Domain. Implemente controles de acesso mais rigorosos como medida temporária.
CVE-2026-23777 está sendo ativamente explorado?
Não há relatos públicos de campanhas de exploração ativas relacionadas a esta vulnerabilidade no momento da publicação, mas a natureza da vulnerabilidade a torna um alvo potencial.
Onde posso encontrar o advisory oficial da Dell para CVE-2026-23777?
Consulte o site de suporte da Dell para obter o advisory oficial e informações adicionais sobre a vulnerabilidade e a correção: [https://www.dell.com/support](https://www.dell.com/support)
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...