PT-2025-43623 · Dell · Dell Storage Manager
Publicado
2025-10-24
·
Atualizado
2025-12-01
·
CVE-2025-43995
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Dell Storage Manager versões 20.1.21
Descrição
Existe uma falha de autenticação inadequada no Dell Storage Manager que pode permitir que um atacante remoto não autenticado contorne mecanismos de proteção. Especificamente, um atacante pode acessar APIs expostas por
ApiProxy.war dentro de DataCollectorEar.ear utilizando um SessionKey e UserId específicos. Esses valores de UserId estão associados a usuários especiais criados dentro de compellentservicesapi para propósitos específicos.Recomendações
Atualize o Dell Storage Manager para uma versão que corrija este bypass de autenticação. Como medida de contorno temporária, restrinja o acesso ao componente
ApiProxy.war dentro de DataCollectorEar.ear para minimizar o risco de exploração.Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dell Storage Manager