Dell Technologies - CVE-2026-35155
Date de publication :
Il s’agit d’une vulnérabilité de condition de course dans Dell iDRAC10.
Dell iDRAC10 est un contrôleur de gestion hors bande intégré aux serveurs Dell, permettant l’administration et la supervision à distance du matériel.
La vulnérabilité est liée à une gestion insuffisamment sécurisée des informations d’authentification lors de l’exécution concurrente de certaines opérations. Dans des conditions spécifiques, des mécanismes de protection des identifiants peuvent être contournés.
Elle permet à un utilisateur authentifié disposant de faibles privilèges d’élever ses privilèges et d’obtenir un accès étendu aux fonctions de gestion du système, impactant la sécurité du serveur hôte.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Élévation de privilèges
• Atteinte à la confidentialité des données
Exploitation
CWE-522 : Insufficiently Protected Credentials
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Dell iDRAC10 version 1.20.70.50,
• Dell iDRAC10 version 1.30.05.10.