Multiples vulnérabilités dans des produits Dell

Risques

Exécution de code arbitraire

Élévation de privilèges

Criticité

Score CVSS v3.1: 8.0 max

La faille est activement exploitée

Non, pour l’ensemble des CVE présentées.

Un correctif existe

Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

Pour la CVE-2022-33936

CWE-258: Empty Password in Configuration File

Pour les CVE-2022-32481

CWE-23: Relative Path Traversal

Détails sur l’exploitation

Pour les CVE-2022-33936

Vecteur d’attaque : Adjacent.

Complexité de l’attaque : Faible.

Privilèges nécessaires pour réaliser l’attaque : Aucun.

Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-32481

Vecteur d’attaque : Local.

Complexité de l’attaque : Faible.

Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.

Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

Pour les CVE-2022-33936

Cloud Mobility pour Dell EMC Storage, versions 1.3.0 et antérieures.

Pour la CVE-2022-32481

Dell PowerProtect Cyber Recovery dans ses versions antérieures à 19.11.

Pour les CVE-2022-33936

• Mettre à niveau Cloud Mobility pour Dell EMC Storage à la version 1.3.1.
• Des informations complémentaires sont disponibles ici.

Pour la CVE-2022-32481

• Mettre à niveau Dell PowerProtect Cyber Recovery à la version 19.11.
• Des informations complémentaires sont disponibles ici.