🔴 严重 | CVE-2026-53481 — Dell PowerProtect Data Domain, versions 7.7.1.0 th...
🔴 《严重安全漏洞:CVE-2026-53481》
CVSS 评分: 严重(9.8) 状态: Awaiting Analysis 发布时间: 2026-07-07
漏洞简介
CVE-2026-53481 是一个存在于 Dell PowerProtect Data Domain 产品中的路径遍历(Path Traversal)漏洞,对应 CWE-22 分类(对受限目录的路径名限制不当)。该漏洞允许未经身份验证的远程攻击者利用不安全的路径处理机制,绕过目录访问限制,从而实现对系统文件或资源的未授权访问。
根据 CVSS 3.1 评分,该漏洞的向量为 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,基础分数为 9.8(严重)。这意味着攻击者无需任何身份验证(PR:N)、无需用户交互(UI:N),且攻击复杂度低(AC:L),即可通过网络远程(AV:N)触发漏洞,导致机密性(C)、完整性(I)和可用性(A)均受到高等级影响。
影响范围
受影响的 Dell PowerProtect Data Domain 版本包括:
- 标准版本:7.7.1.0 至 8.7
- LTS2026 版本:8.6.1.0 至 8.6.1.10
- LTS2025 版本:8.3.1.0 至 8.3.1.30
- LTS2024 版本:7.13.1.0 至 7.13.1.70
所有在上述版本范围内的 Dell PowerProtect Data Domain 系统均受此漏洞影响。
风险分析
该漏洞的核心风险在于,攻击者可以通过构造特制的路径请求(例如使用 ../ 等路径遍历序列),绕过系统对受限目录的访问限制。由于攻击者无需任何身份验证即可远程发起攻击,且攻击复杂度低,该漏洞极易被利用。
一旦成功利用,攻击者可能实现以下后果:
- 完全控制系统:攻击者能够读取、修改或删除系统上的任意文件,包括敏感配置、凭据或系统二进制文件,最终可能导致对 PowerProtect Data Domain 系统的完全控制。
- 数据泄露与破坏:作为数据保护平台,PowerProtect Data Domain 通常存储大量备份数据。攻击者利用该漏洞可窃取或破坏这些数据,造成严重的数据安全事件。
- 横向移动风险:获得系统控制权后,攻击者可能进一步利用受控设备作为跳板,攻击内部网络中的其他系统。
Dell 官方已将此漏洞标记为严重级别(Critical Severity),并强烈建议客户尽快升级到修复版本。目前尚无公开的缓解措施,升级是唯一有效的修复方案。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-53481 |
| CVSS 评分 | 9.8 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE 分类 | CWE-22 |
| 发布时间 | 2026-07-07 |
| 最后更新 | 2026-07-07 |
| 状态 | Awaiting Analysis |
| 数据来源 | security_alert@emc.com |
🔗 参考链接
💬 评论