Dell - CVE-2026-40636
Date de publication :
Il s'agit d'une vulnérabilité d'utilisation de credentials codés en dur dans Dell ECS et Dell ObjectScale.
Dell ECS est une solution de stockage objet compatible S3 destinée aux environnements d'entreprise. Dell ObjectScale est son successeur cloud-natif, conçu pour les déploiements conteneurisés sur Kubernetes. Les deux produits sont utilisés pour le stockage de grandes volumétries de données non structurées.
Des identifiants statiques sont intégrés directement dans le produit et ne sont pas modifiés lors du déploiement par défaut. Un attaquant disposant d'un accès local au système peut exploiter ces credentials pour accéder directement au système de fichiers sous-jacent.
Elle permet à un attaquant non authentifié d'accéder à l'ensemble des données stockées sur le système.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Atteinte à la confidentialité des données
Exploitation
CWE-798 : Use of Hard-coded Credentials
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Dell ECS versions 3.8.1.0 jusqu'à 3.8.1.7 (inclus)
• Dell ObjectScale versions antérieures à 4.3.0.0