Dell - CVE-2026-23853
Date de publication :
Il s'agit d'une vulnérabilité d'utilisation de credentials faibles dans le système d'exploitation DD OS de Dell PowerProtect Data Domain.
PowerProtect Data Domain est une solution de sauvegarde et de déduplication de données, disponible sous forme d'appliances physiques, de machines virtuelles (DDVE) et de service cloud (APEX Protection Storage). Elle fonctionne sous le système d'exploitation propriétaire DD OS et est destinée à la protection des données d'entreprise.
Des identifiants système insuffisamment robustifiés sont présents sans authentification préalable requise. Un attaquant disposant d'un accès physique ou local au système peut exploiter ces credentials prévisibles pour contourner les contrôles d'authentification.
Elle permet un accès non autorisé complet au système sans aucun compte préalable.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
CWE-1391 : Use of Weak Credentials
Détails sur l'exploitation
• Vecteur d'attaque : Local
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• DD OS Feature Release versions 7.7.1.0 jusqu'à 8.5.0.0
• DD OS LTS2025 versions 8.3.1.0 jusqu'à 8.3.1.20
• DD OS LTS2024 versions 7.13.1.0 jusqu'à 7.13.1.50
Solutions ou recommandations
• DD OS LTS2025 (8.3.1) : version 8.3.1.30 et supérieures
• DD OS LTS2024 (7.13.1) : version 7.13.1.60 et supérieures
• PowerProtect DP Series Appliance (IDPA) : version 2.7.9 avec DD OS 8.3.1.30 et supérieures