Dell - CVE-2024-51532
Date de publication :
Une vulnérabilité de type injection d’arguments dans une commande de Dell PowerStore permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, de modifier ou supprimer des fichiers arbitraires.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à l’intégrité des données
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Local
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Dell PowerStore 500T, 1000T, 1200T, 3000T, 3200Q, 3200T, 5000T, 5200T, 7000T, 9000T et 9200T versions antérieures à 4.0.1.0-2408234
Solutions ou recommandations
Mettre à jour Dell PowerStore vers la version 4.0.1.0-2408234 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Dell.