MEDIUMCVE-2026-23779CVSS 6.7

Dell PowerProtect Data Domain with Data Domain Operating System (DD OS) 的 Feature Release 版本 7.7.1.0 到 8.5，LTS2025 发布版本 8.3.1.0 到 8.3.1.20，LTS2024 发布版本 7.13

平台

dell

组件

dell-powerprotect-datadomain

修复版本

8.6.0.0

8.3.1.20

7.13.1.50

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-23779 是 Dell PowerProtect Data Domain 系统中的一个命令注入漏洞，允许具有本地访问权限的高权限攻击者执行任意命令。该漏洞可能导致攻击者获得root级别的权限，从而完全控制受影响的系统。此漏洞影响 Dell PowerProtect Data Domain 的 Feature Release 版本 7.7.1.0 到 8.5，LTS2025 版本 8.3.1.0 到 8.3.1.20，以及 LTS2024 版本 7.13.1.0 到 7.13.1.50。已发布补丁，建议升级到 8.6.0.0 或更高版本。

影响与攻击场景

戴尔已在 PowerProtect Data Domain 中识别出一个命令注入漏洞（CVE-2026-23779）。此漏洞影响 DD OS Feature Release 版本 7.7.1.0 到 8.5，LTS2025 发布版本 8.3.1.0 到 8.3.1.20，以及 LTS2024 发布版本 7.13.1.0 到 7.13.1.50。具有本地访问权限的高权限攻击者可能利用此漏洞获得对系统的 root 级别访问权限。这可能允许攻击者执行任意命令、访问敏感数据并破坏 Data Domain 系统的完整性。此漏洞的严重程度在 CVSS 规模上评为 6.7。

利用背景

此漏洞源于对某些命令中的用户输入验证不足。具有本地访问权限的攻击者，例如具有提升权限的管理员，可能操纵此输入以在系统上执行任意命令。利用成功取决于攻击者能够获得 Data Domain 系统本地访问的能力。利用的复杂性相对较低，因为它不需要深入的系统知识，但需要远程或物理访问的有效凭据。

哪些人处于风险中翻译中…

Organizations heavily reliant on Dell PowerProtect Data Domain for data protection and backup are at significant risk. This includes those with legacy deployments of affected versions, environments with inadequate access controls, and those lacking robust monitoring and patching processes. Shared hosting environments utilizing Data Domain appliances are also particularly vulnerable due to the potential for cross-tenant exploitation.

检测步骤翻译中…

• linux / server:

journalctl -u dd-os | grep -i "command injection"

• linux / server:

ps aux | grep -i "malicious_command"

• linux / server:

find / -name "vulnerable_script.sh" -print

攻击时间线

2026-04-17Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.01% (3% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件dell-powerprotect-datadomain

供应商Dell

影响范围修复版本

7.7.1.0 – 8.58.6.0.0

8.3.1.0 – 8.3.1.208.3.1.20

7.13.1.0 – 7.13.1.507.13.1.50

弱点分类 (CWE)

CWE-77

时间线

已保留2026-01-16
发布日期2026-04-17
修改日期2026-04-18
EPSS 更新日期2026-04-24

缓解措施和替代方案

戴尔强烈建议更新到 PowerProtect Data Domain Operating System (DD OS) 的 8.6.0.0 或更高版本，以减轻此漏洞。此更新包含防止命令注入所需的修复程序。如果无法立即更新，戴尔建议查看安全指南和最佳实践，以限制对 Data Domain 系统的本地访问并加强现有的安全措施。有关更新和实施说明的更多信息，请参阅戴尔支持页面。虽然没有与此漏洞相关的特定 KEV（戴尔知识库文章），但戴尔正在监控情况，并在必要时提供更新。

修复方法翻译中…

Dell ha publicado una actualización de seguridad (DSA-2026-060) para PowerProtect Data Domain que corrige esta vulnerabilidad de inyección de comandos. Se recomienda aplicar la actualización a la versión 8.6.0.0 o posterior, o a las versiones especificadas en el aviso de seguridad de Dell.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-23779 是什么 — Dell PowerProtect Data Domain 中的 Command Injection？

DD OS Feature Release 版本 7.7.1.0 到 8.5，LTS2025 发布版本 8.3.1.0 到 8.3.1.20，以及 LTS2024 发布版本 7.13.1.0 到 7.13.1.50 受到影响。

Dell PowerProtect Data Domain 中的 CVE-2026-23779 是否会影响我？

请参阅戴尔文档或 Data Domain 系统管理界面以验证软件版本。

如何修复 Dell PowerProtect Data Domain 中的 CVE-2026-23779？

目前，此漏洞没有特定的 KEV，但戴尔正在监控情况。

CVE-2026-23779 是否正在被积极利用？

实施额外的安全措施，例如限制本地访问并加强密码策略。

在哪里可以找到 Dell PowerProtect Data Domain 关于 CVE-2026-23779 的官方安全通告？

请访问戴尔支持页面以获取更多信息和实施说明。

Dell PowerProtect Data Domain with Data Domain Operating System (DD OS) 的 Feature Release 版本 7.7.1.0 到 8.5，LTS2025 发布版本 8.3.1.0 到 8.3.1.20，LTS2024 发布版本 7.13

影响与攻击场景

利用背景

哪些人处于风险中翻译中…

检测步骤翻译中…

攻击时间线

威胁情报

受影响的软件

弱点分类 (CWE)

时间线

缓解措施和替代方案

修复方法翻译中…

CVE 安全通讯

常见问题

CVE-2026-23779 是什么 — Dell PowerProtect Data Domain 中的 Command Injection？

Dell PowerProtect Data Domain 中的 CVE-2026-23779 是否会影响我？

如何修复 Dell PowerProtect Data Domain 中的 CVE-2026-23779？

CVE-2026-23779 是否正在被积极利用？

在哪里可以找到 Dell PowerProtect Data Domain 关于 CVE-2026-23779 的官方安全通告？

你的项目受影响吗?