Dell - CVE-2026-44272
Date de publication :
Il s'agit d'une vulnérabilité de type injection SQL dans Dell Wyse Management Suite.
Dell Wyse Management Suite est une solution de gestion centralisée des thin clients Dell Wyse. Elle permet aux administrateurs IT de déployer, configurer, surveiller et gérer à distance des flottes de postes légers depuis une console unifiée.
Des entrées utilisateur non neutralisées sont incorporées directement dans des requêtes SQL exécutées par l'application. Un attaquant distant disposant de privilèges faibles peut injecter des commandes SQL arbitraires via l'interface réseau.
Elle permet un accès non autorisé aux données et aux fonctions de l'application, avec un impact en confidentialité, intégrité et disponibilité.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Dell Wyse Management Suite versions antérieures à WMS 2605