HackerNews 编译,转载请注明出处:
戴尔科技公司发布了一项关键安全更新,以解决其 Unity 企业存储系统中的多个严重漏洞。这些漏洞可能允许攻击者以 root 权限执行任意命令、删除关键系统文件,并在无需身份验证的情况下进行其他恶意活动。
安全研究人员发现了 16 个不同的漏洞,这些漏洞影响运行 5.4 版本及更早版本的戴尔 Unity、UnityVSA 和 Unity XT 存储系统,其中最严重的漏洞在通用漏洞评分系统(CVSS)中的评分为 9.8 分。
CVE-2025-22398:远程 root 命令执行
CVE-2025-22398(CVSS 评分 9.8)允许通过未经身份验证的远程命令执行以 root 权限完全接管系统。攻击者可以构造针对 Unity API 的恶意网络请求,注入能以完全管理员权限执行的操作系统命令。这一漏洞使各组织面临着被部署勒索软件、数据被窃取以及被安装持久后门程序的风险。
戴尔发布安全公告明确指出,对该漏洞的利用“可能会导致系统被攻击者接管”,其接近满分的 CVSS 评分反映出该漏洞具有网络可访问性、攻击难度低以及会导致机密性 / 完整性 / 可用性完全丧失等特点。
CVE-2025-24383:特权文件删除
CVE-2025-24383(CVSS 评分 9.1)漏洞使得攻击者能够以 root 权限通过未经身份验证的远程操作删除任意文件,从而对文件系统造成同样危险的破坏。攻击者可以删除关键的系统二进制文件、配置文件或数据存储,这有可能会使存储操作陷入瘫痪,或者为后续攻击创造条件。
虽然由于该漏洞对机密性的影响较小(无影响对比高影响),其评分略低,但它与 CVE-2025-22398 漏洞具有相同的攻击途径和特权提升严重程度。
其他安全漏洞
该安全公告还详细说明了 CVE-2025-24381 漏洞,这是一个开放重定向漏洞,评分为 8.8 分,攻击者可能会利用该漏洞通过恶意重定向进行网络钓鱼攻击和会话窃取。
进一步加剧风险的是多个本地特权提升漏洞(CVE-2024-49563、CVE-2024-49564、CVE-2024-49565、CVE-2024-49566、CVE-2025-23383、CVE-2025-24377、CVE-2025-24378、CVE-2025-24379、CVE-2025-24380、CVE-2025-24385、CVE-2025-24386),CVSS 评分为 7.8 分,这些漏洞使得低权限的本地用户能够以 root 权限执行命令。
另外还有两个命令注入漏洞(CVE-2024-49601 和 CVE-2025-24382),CVSS 评分为 7.3 分,使得未经身份验证的远程攻击者能够执行影响程度较低的命令。
戴尔对负责任地披露这些漏洞的安全研究人员表示感谢:“prowser” 发现了关键的远程命令注入漏洞,而来自 Ubisectech Sirius 团队的 “zzcentury” 和 “xiaohei” 发现了本地特权提升漏洞。
受影响产品及修复措施
这些漏洞影响了戴尔广受欢迎的企业存储系统,包括运行 5.4 版本及更早版本的 Unity、UnityVSA 和 Unity XT。
戴尔已发布了 Dell Unity 操作环境(OE)5.5.0.0.5.259 版本作为修复方案,并强烈建议所有客户立即进行升级。
使用受影响的戴尔 Unity 系统的组织应评估自身面临的风险,实施推荐的更新,并在这些关键漏洞尚未修复期间监控是否存在被攻击利用的迹象。
消息来源:Cybersecurity News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
