分析待定CVE-2026-28263

CVE-2026-28263: XSS in Dell PowerProtect Data Domain

平台

linux

组件

dell-powerprotect-data-domain

修复版本

8.6.0.0 or later

在NVD查看

保存

CVE-2026-28263 描述了 Dell PowerProtect Data Domain 系统中的一个跨站脚本 (XSS) 漏洞。该漏洞允许具有远程访问权限的高级攻击者注入恶意脚本，可能导致敏感信息泄露或系统行为改变。受影响的版本包括 Data Domain Operating System (DD OS) 的 Feature Release 版本 7.7.1.0 到 8.5，LTS2025 版本 8.3.1.0 到 8.3.1.20，以及 LTS2024 版本 7.13.1.0 到 7.13.1.50。建议用户尽快升级至 8.6.0.0 或更高版本以消除此风险。

影响与攻击场景

攻击者利用此 XSS 漏洞可以执行各种恶意操作。他们可以注入恶意脚本到受影响的 Data Domain 系统中，这些脚本可能被执行，从而窃取用户凭据、篡改数据或劫持会话。更严重的后果包括攻击者可能获得对整个 Data Domain 系统的控制权，进而可能影响到连接到该系统的其他系统和网络。由于 Data Domain 系统通常用于存储关键业务数据，因此此漏洞的潜在影响非常大，可能导致数据泄露、业务中断和声誉损失。虽然描述中未提及具体利用模式，但XSS漏洞通常被用于钓鱼攻击、恶意软件传播和权限提升。

利用背景

该漏洞已于 2026 年 4 月 17 日发布。目前，该漏洞的公开利用情况未知，但由于其潜在影响，建议用户尽快采取措施进行缓解。该漏洞的 EPSS 评分尚未公布，但考虑到其影响范围和潜在的利用难度，预计风险等级为中等。建议持续关注安全社区的动态，以获取有关此漏洞的最新信息。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.01% (1% 百分位)

CVSS 向量

这些指标意味着什么？

Attack Vector: 网络 — 可通过互联网远程利用，无需物理或本地访问。攻击面最大。
Attack Complexity: 低 — 无需特殊条件，可以稳定地利用漏洞。
Privileges Required: 高 — 需要管理员或特权账户。
User Interaction: 需要 — 受害者必须打开文件、点击链接或访问特制页面。
Scope: 已改变 — 攻击可以超出脆弱组件，影响其他系统。
Confidentiality: 低 — 可访问部分数据。
Integrity: 低 — 攻击者可修改部分数据，影响有限。
Availability: 低 — 部分或间歇性拒绝服务。

受影响的软件

组件dell-powerprotect-data-domain

供应商Dell

最低版本7.7.1.0

最高版本8.6.0.0 or later

修复版本8.6.0.0 or later

弱点分类 (CWE)

CWE-79

时间线

发布日期2026-04-17
修改日期2026-04-18
EPSS 更新日期2026-04-24

缓解措施和替代方案

Dell 建议用户立即升级至 PowerProtect Data Domain 8.6.0.0 或更高版本以修复此漏洞。如果无法立即升级，可以考虑实施一些临时缓解措施。首先，严格控制对 Data Domain 系统的访问权限，仅允许授权用户访问。其次，实施严格的输入验证和输出编码策略，以防止恶意脚本注入。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以检测和阻止潜在的 XSS 攻击。最后，定期审查 Data Domain 系统的配置和日志，以识别任何可疑活动。升级后，请验证新版本是否已成功部署，并确认漏洞已得到修复。

修复方法翻译中…

Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior para LTS2025, o a la versión 7.13.1.50 o posterior para LTS2024. Consulte la nota de Dell Security Advisory DSA-2026-060 para obtener más detalles e instrucciones de actualización.

常见问题

什么是 CVE-2026-28263 — XSS 在 Dell PowerProtect Data Domain 中？

CVE-2026-28263 是 Dell PowerProtect Data Domain 系统中发现的一个跨站脚本 (XSS) 漏洞，允许攻击者注入恶意脚本，可能导致数据泄露和系统控制权被劫持。受影响的版本包括 7.7.1.0–8.6.0.0 及更高版本。

我是否受到 CVE-2026-28263 在 Dell PowerProtect Data Domain 中影响？

如果您正在使用 Dell PowerProtect Data Domain 的受影响版本（7.7.1.0–8.6.0.0, 8.3.1.0–8.3.1.20, 7.13.1.0–7.13.1.50），则您可能受到此漏洞的影响。请立即检查您的系统版本。

我如何修复 CVE-2026-28263 在 Dell PowerProtect Data Domain 中？

建议立即升级至 Dell PowerProtect Data Domain 8.6.0.0 或更高版本以修复此漏洞。如果无法立即升级，请实施临时缓解措施，例如限制访问权限和配置 WAF。

CVE-2026-28263 是否正在被积极利用？

目前，CVE-2026-28263 的公开利用情况未知，但由于其潜在影响，建议用户尽快采取措施进行缓解。

在哪里可以找到官方 Dell PowerProtect Data Domain 关于 CVE-2026-28263 的安全公告？

请访问 Dell 安全更新网站或 Dell 支持网站，搜索 CVE-2026-28263 以获取官方安全公告和修复信息。

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE

live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始：拥有账户后，您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...

浏览文件