戴尔Storage Center曝严重漏洞可致未授权API绕过(CVE-2025-43995,CVSS 9.8)
内容提要
戴尔科技发布安全公告,警告其Storage Center和Storage Manager软件存在多个高危漏洞,允许远程攻击者绕过身份验证,未经授权访问敏感功能。最严重的漏洞CVE-2025-43995评分为9.8,影响DSM 20.1.21版本。戴尔已发布修复版本2020 R1.22以解决这些问题。
关键要点
-
戴尔科技发布安全公告,警告Storage Center和Storage Manager软件存在多个高危漏洞。
-
漏洞允许远程攻击者绕过身份验证,未经授权访问敏感管理功能。
-
最严重的漏洞CVE-2025-43995评分为9.8,影响DSM 20.1.21版本。
-
该漏洞影响DSM Data Collector组件,攻击者可利用特殊SessionKey和UserId访问API。
-
第二个漏洞CVE-2025-43994(CVSS 8.6)涉及关键功能认证缺失,可能导致信息泄露。
-
第三个中危漏洞CVE-2025-46425(CVSS 6.5)涉及XML外部实体(XXE)引用限制不当问题。
-
戴尔已发布修复版本2020 R1.22以解决这些漏洞。
延伸问答
CVE-2025-43995漏洞的严重性如何?
CVE-2025-43995漏洞的CVSS评分为9.8,属于严重漏洞,允许未授权访问敏感功能。
戴尔Storage Center和Storage Manager存在哪些主要漏洞?
主要漏洞包括CVE-2025-43995、CVE-2025-43994和CVE-2025-46425,分别涉及身份验证绕过、关键功能认证缺失和XML外部实体引用问题。
如何修复戴尔Storage Manager中的这些漏洞?
戴尔已发布2020 R1.22修复版本,解决了这些漏洞。
CVE-2025-43994漏洞可能导致什么后果?
CVE-2025-43994漏洞可能导致信息泄露,攻击者可在未提供有效凭证的情况下查询敏感配置数据。
CVE-2025-46425漏洞的风险是什么?
CVE-2025-46425漏洞可能允许低权限攻击者读取任意文件或执行服务器端请求,存在安全风险。
戴尔Storage Manager的受影响版本有哪些?
受影响的版本包括DSM 20.1.21及之前版本。
