DSA-2024-042:多個漏洞的 Dell Unity、Dell Unity VSA 和 Dell Unity XT 安全性更新
Summary: 為多個安全性漏洞提供 Dell Unity、Dell Unity VSA 及 Dell Unity XT 補救措施,惡意使用者可能會利用該漏洞,入侵受影響的系統。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Impact
Critical
Details
| 第三方元件 | CVE | 更多資訊 |
|---|---|---|
| Python-LXML | CVE-2022-2309: | 請參閱下面的 NVD 連結,瞭解每個 CVE 的各個分數。 http://nvd.nist.gov/  |
| python3-requests | CVE-2018-18074 | 請參閱下面的 NVD 連結,瞭解每個 CVE 的各個分數。 http://nvd.nist.gov/ |
| python3-urllib3 | CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116 | 請參閱下面的 NVD 連結,瞭解每個 CVE 的各個分數。 http://nvd.nist.gov/ |
| 專有代碼 CVE | 說明 | CVSS 基本分數 | CVSS 向量字串 |
|---|---|---|---|
| CVE-2024-22223: |
Dell Unity,5.4 之前的版本,在其 svc_cbr 公用程式中包含一個作業系統命令導入漏洞。具有本地訪問許可權的經過驗證的惡意使用者可能會利用此漏洞,導致在應用程式的基礎操作系統上以易受攻擊的應用程式的許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity 5.4 之前的版本在其 svc_udoctor 公用程式中包含作業系統命令導入漏洞。具有本地訪問許可權的經過驗證的惡意使用者可能會利用此漏洞,導致在應用程式的基礎操作系統上以易受攻擊的應用程式的許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity 5.4 之前的版本在其 svc_tcpdump 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致以提升的許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity 5.4 之前的版本在 svc_oscheck 公用程式中包含命令注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,從而導致能夠注入任意操作系統命令。此漏洞允許經過身份驗證的攻擊者以根許可權執行命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity,5.4 之前的版本,在 svc_topstats 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致能夠以根許可權覆蓋文件系統上的任意檔。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity 5.4 之前的版本在其 svc_topstats 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致以提升的許可權執行任意命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity,5.4 之前的版本,在其 svc_acldb_dump 公用程式中包含作業系統命令注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致執行具有根許可權的任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity 5.4 之前的版本在其 svc_supportassist 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致執行具有根許可權的任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227: |
Dell Unity,5.4 之前的版本,在其 svc_dc 公用程式中包含一個作業系統命令導入漏洞。經過驗證的攻擊者可能會利用此漏洞,導致能夠以根許可權執行命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity 5.4 之前的版本在其 svc_cava 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,逃離受限外殼並使用根許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity 5.4 之前的版本在其 svc_nas 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,逃離受限外殼並使用根許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity 5.4 之前的版本在其 svc_cifssupport 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,逃離受限外殼並使用根許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230: |
Dell Unity 5.4 之前的版本包含跨站指令碼漏洞。經過身份驗證的攻擊者可能會利用此漏洞,竊取會話資訊,偽裝成受影響的使用者或執行該使用者可以執行的任何操作,或者通常控制受害者的瀏覽器。 | 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity 5.4 之前的版本包含跨站腳本 (XSS) 漏洞。經過驗證的攻擊者可能會利用此漏洞,導致使用者下載並執行由本產品功能打造的惡意軟體,進而入侵其系統。 | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
Dell Unity,5.4 之前的版本,包含 SQL 注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致敏感信息洩露。 | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226: |
Dell Unity 5.4 之前的版本在其 svc_supportassist 公用程式中包含一個路徑遍歷漏洞。經過身份驗證的攻擊者可能會利用此漏洞,使用提升的許可權獲取對存儲在伺服器文件系統上的檔的未經授權的寫入訪問許可權。 | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| 專有代碼 CVE | 說明 | CVSS 基本分數 | CVSS 向量字串 |
|---|---|---|---|
| CVE-2024-22223: |
Dell Unity,5.4 之前的版本,在其 svc_cbr 公用程式中包含一個作業系統命令導入漏洞。具有本地訪問許可權的經過驗證的惡意使用者可能會利用此漏洞,導致在應用程式的基礎操作系統上以易受攻擊的應用程式的許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity 5.4 之前的版本在其 svc_udoctor 公用程式中包含作業系統命令導入漏洞。具有本地訪問許可權的經過驗證的惡意使用者可能會利用此漏洞,導致在應用程式的基礎操作系統上以易受攻擊的應用程式的許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity 5.4 之前的版本在其 svc_tcpdump 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致以提升的許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity 5.4 之前的版本在 svc_oscheck 公用程式中包含命令注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,從而導致能夠注入任意操作系統命令。此漏洞允許經過身份驗證的攻擊者以根許可權執行命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity,5.4 之前的版本,在 svc_topstats 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致能夠以根許可權覆蓋文件系統上的任意檔。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity 5.4 之前的版本在其 svc_topstats 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致以提升的許可權執行任意命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity,5.4 之前的版本,在其 svc_acldb_dump 公用程式中包含作業系統命令注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致執行具有根許可權的任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity 5.4 之前的版本在其 svc_supportassist 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致執行具有根許可權的任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227: |
Dell Unity,5.4 之前的版本,在其 svc_dc 公用程式中包含一個作業系統命令導入漏洞。經過驗證的攻擊者可能會利用此漏洞,導致能夠以根許可權執行命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity 5.4 之前的版本在其 svc_cava 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,逃離受限外殼並使用根許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity 5.4 之前的版本在其 svc_nas 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,逃離受限外殼並使用根許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity 5.4 之前的版本在其 svc_cifssupport 公用程式中包含作業系統命令導入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,逃離受限外殼並使用根許可權執行任意操作系統命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230: |
Dell Unity 5.4 之前的版本包含跨站指令碼漏洞。經過身份驗證的攻擊者可能會利用此漏洞,竊取會話資訊,偽裝成受影響的使用者或執行該使用者可以執行的任何操作,或者通常控制受害者的瀏覽器。 | 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity 5.4 之前的版本包含跨站腳本 (XSS) 漏洞。經過驗證的攻擊者可能會利用此漏洞,導致使用者下載並執行由本產品功能打造的惡意軟體,進而入侵其系統。 | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
Dell Unity,5.4 之前的版本,包含 SQL 注入漏洞。經過身份驗證的攻擊者可能會利用此漏洞,導致敏感信息洩露。 | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226: |
Dell Unity 5.4 之前的版本在其 svc_supportassist 公用程式中包含一個路徑遍歷漏洞。經過身份驗證的攻擊者可能會利用此漏洞,使用提升的許可權獲取對存儲在伺服器文件系統上的檔的未經授權的寫入訪問許可權。 | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Affected Products & Remediation
| 已解決的 CVE | 產品 | 軟體/韌體 | 受影響的版本 | 已補救版本 | 連結 |
|---|---|---|---|---|---|
| CVE-2024-22223、CVE-2024-2222、CVE-2024-0166、CVE-2024-0168、CVE-2024-0167、CVE-2024-0164、CVE-2024-0165、CVE-2024-22225、CVE-2024-22227、CVE-2024-0170、CVE-2024-22224、CVE-2e24-22224、CVE。 -2024-22228、CVE-2024-22230、CVE-2024-0169、CVE-2024-22221、CVE-2024-22226、CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116、CVE-2018-18074、CVE-2022-2309 | Dell Unity | Dell Unity 作業環境 (OE) | 5.4 之前的版本 | 5.4.0.0.5.094 或更新版本 | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
| 已解決的 CVE | 產品 | 軟體/韌體 | 受影響的版本 | 已補救版本 | 連結 |
|---|---|---|---|---|---|
| CVE-2024-22223、CVE-2024-2222、CVE-2024-0166、CVE-2024-0168、CVE-2024-0167、CVE-2024-0164、CVE-2024-0165、CVE-2024-22225、CVE-2024-22227、CVE-2024-0170、CVE-2024-22224、CVE-2e24-22224、CVE。 -2024-22228、CVE-2024-22230、CVE-2024-0169、CVE-2024-22221、CVE-2024-22226、CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116、CVE-2018-18074、CVE-2022-2309 | Dell Unity | Dell Unity 作業環境 (OE) | 5.4 之前的版本 | 5.4.0.0.5.094 或更新版本 | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
Revision History
| 修訂版 | 日期 | 說明 |
|---|---|---|
| 1.0 | 2024-02-12 | 初始版本 |
| 2.0 | 2024-05-22 | 添加了外部連結圖示,對內容沒有其他更改。 |
Related Information
Legal Disclaimer
Affected Products
Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC
, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
Article Properties
Article Number: 000222010
Article Type: Dell Security Advisory
Last Modified: 14 Aug 2024
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.