免费扫描
分析待定CVE-2026-28263

CVE-2026-28263: XSS in Dell PowerProtect Data Domain

平台

linux

组件

dell-powerprotect-data-domain

修复版本

8.6.0.0 or later

在NVD查看
保存

CVE-2026-28263 describes a cross-site scripting (XSS) vulnerability present in Dell PowerProtect Data Domain. Successful exploitation could allow a high-privileged attacker with remote access to inject malicious scripts into the system. This vulnerability impacts versions 7.7.1.0 through 8.5, LTS2025 versions 8.3.1.0 through 8.3.1.20, and LTS2024 versions 7.13.1.0 through 7.13.1.50. Dell has released a patch in version 8.6.0.0 and later.

影响与攻击场景

戴尔已在 PowerProtect Data Domain 的 DD OS Feature Release 版本 7.7.1.0 到 8.5、LTS2025 发布版本 8.3.1.0 到 8.3.1.20 以及 LTS2024 发布版本 7.13.1.0 到 7.13.1.50 中发现了一个跨站脚本 (XSS) 漏洞。此漏洞允许具有远程访问权限的高权限攻击者将恶意脚本注入到 Data Domain Web 界面中。 成功利用可能导致任意代码执行、窃取机密信息或系统被破坏。 CVSS 分数为 5.9,表明存在中等风险。 解决此漏洞对于保护您的数据和基础设施完整性至关重要。

利用背景

具有远程访问权限和高权限的攻击者可以通过在 Data Domain Web 界面的易受攻击输入中注入恶意 JavaScript 代码来利用此漏洞。 此代码可以在访问受损页面的合法用户的浏览器中执行,从而允许攻击者窃取凭据、修改数据或执行其他恶意操作。 漏洞利用的复杂性取决于特定的系统配置以及其他安全措施的存在。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.01% (1% 百分位)

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L5.9MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredHigh攻击所需的认证级别User InteractionRequired是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityLow敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityLow服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
高 — 需要管理员或特权账户。
User Interaction
需要 — 受害者必须打开文件、点击链接或访问特制页面。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
低 — 可访问部分数据。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
低 — 部分或间歇性拒绝服务。

受影响的软件

组件dell-powerprotect-data-domain
供应商Dell
最低版本7.7.1.0
最高版本8.6.0.0 or later
修复版本8.6.0.0 or later

弱点分类 (CWE)

CWE-79

时间线

  1. 发布日期
  2. 修改日期
  3. EPSS 更新日期

缓解措施和替代方案

减轻此漏洞的解决方案是升级到 Data Domain Operating System (DD OS) 的 8.6.0.0 或更高版本。戴尔发布此更新以修复 XSS 漏洞。 建议尽快应用更新,同时遵循变更管理最佳实践,并在生产实施之前在非生产环境中进行测试。 此外,实施严格的访问控制并监控系统活动可以帮助检测和防止潜在攻击。 请参阅戴尔知识库以获取有关如何应用更新以及有关此漏洞的更多信息的详细说明。

修复方法翻译中…

Actualice su sistema Dell PowerProtect Data Domain a la versión 8.6.0.0 o posterior, o a la versión 8.3.1.20 o posterior para LTS2025, o a la versión 7.13.1.50 o posterior para LTS2024. Consulte la nota de Dell Security Advisory DSA-2026-060 para obtener más detalles e instrucciones de actualización.

常见问题

CVE-2026-28263 是什么 — Dell PowerProtect Data Domain 中的 Cross-Site Scripting (XSS)?

XSS 是一种 Web 安全漏洞,允许攻击者将恶意脚本注入到其他用户查看的 Web 页面中。

Dell PowerProtect Data Domain 中的 CVE-2026-28263 是否会影响我?

受影响的版本包括 DD OS 7.7.1.0 到 8.5、LTS2025 8.3.1.0 到 8.3.1.20 以及 LTS2024 7.13.1.0 到 7.13.1.50。

如何修复 Dell PowerProtect Data Domain 中的 CVE-2026-28263?

您可以在 Data Domain 管理界面中验证 DD OS 版本。 将版本与戴尔安全公告中列出的已修复版本进行比较。

CVE-2026-28263 是否正在被积极利用?

实施严格的访问控制并监控系统活动以检测潜在攻击。 如果可用,请考虑应用临时解决方法。

在哪里可以找到 Dell PowerProtect Data Domain 关于 CVE-2026-28263 的官方安全通告?

请参阅戴尔知识库以获取有关漏洞和更新说明的更多信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...