🔴 《严重安全漏洞:CVE-2026-53481》

CVSS 评分: 严重(9.8)  状态: Awaiting Analysis  发布时间: 2026-07-07


漏洞简介

CVE-2026-53481 是一个存在于 Dell PowerProtect Data Domain 产品中的路径遍历(Path Traversal)漏洞,对应 CWE-22 分类(对受限目录的路径名限制不当)。该漏洞允许未经身份验证的远程攻击者利用不安全的路径处理机制,绕过目录访问限制,从而实现对系统文件或资源的未授权访问。

根据 CVSS 3.1 评分,该漏洞的向量为 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,基础分数为 9.8(严重)。这意味着攻击者无需任何身份验证(PR:N)、无需用户交互(UI:N),且攻击复杂度低(AC:L),即可通过网络远程(AV:N)触发漏洞,导致机密性(C)、完整性(I)和可用性(A)均受到高等级影响。

影响范围

受影响的 Dell PowerProtect Data Domain 版本包括:

  • 标准版本:7.7.1.0 至 8.7
  • LTS2026 版本:8.6.1.0 至 8.6.1.10
  • LTS2025 版本:8.3.1.0 至 8.3.1.30
  • LTS2024 版本:7.13.1.0 至 7.13.1.70

所有在上述版本范围内的 Dell PowerProtect Data Domain 系统均受此漏洞影响。

风险分析

该漏洞的核心风险在于,攻击者可以通过构造特制的路径请求(例如使用 ../ 等路径遍历序列),绕过系统对受限目录的访问限制。由于攻击者无需任何身份验证即可远程发起攻击,且攻击复杂度低,该漏洞极易被利用。

一旦成功利用,攻击者可能实现以下后果:

  • 完全控制系统:攻击者能够读取、修改或删除系统上的任意文件,包括敏感配置、凭据或系统二进制文件,最终可能导致对 PowerProtect Data Domain 系统的完全控制。
  • 数据泄露与破坏:作为数据保护平台,PowerProtect Data Domain 通常存储大量备份数据。攻击者利用该漏洞可窃取或破坏这些数据,造成严重的数据安全事件。
  • 横向移动风险:获得系统控制权后,攻击者可能进一步利用受控设备作为跳板,攻击内部网络中的其他系统。

Dell 官方已将此漏洞标记为严重级别(Critical Severity),并强烈建议客户尽快升级到修复版本。目前尚无公开的缓解措施,升级是唯一有效的修复方案。


🔍 技术细节

字段
CVE ID CVE-2026-53481
CVSS 评分 9.8 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE 分类 CWE-22
发布时间 2026-07-07
最后更新 2026-07-07
状态 Awaiting Analysis
数据来源 security_alert@emc.com

🔗 参考链接