Multiples vulnérabilités dans des produits Dell

Risques

• Exécution de code arbitraire
• Élévation de privilèges

Criticité

• Score CVSS v3.1: 8.0 max

La faille est activement exploitée

• Non, pour l’ensemble des CVE présentées.

Un correctif existe

• Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

• Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

• Pour la CVE-2022-33936

CWE-258: Empty Password in Configuration File

• Pour les CVE-2022-32481

CWE-23: Relative Path Traversal

Détails sur l’exploitation

Pour les CVE-2022-33936

• Vecteur d’attaque : Adjacent.
• Complexité de l’attaque : Faible.
• Privilèges nécessaires pour réaliser l’attaque : Aucun.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-32481

• Vecteur d’attaque : Local.
• Complexité de l’attaque : Faible.
• Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

Pour les CVE-2022-33936

• Cloud Mobility pour Dell EMC Storage, versions 1.3.0 et antérieures.

Pour la CVE-2022-32481

• Dell PowerProtect Cyber Recovery dans ses versions antérieures à 19.11.

Pour les CVE-2022-33936

• Mettre à niveau Cloud Mobility pour Dell EMC Storage à la version 1.3.1.
• Des informations complémentaires sont disponibles ici.

Pour la CVE-2022-32481

• Mettre à niveau Dell PowerProtect Cyber Recovery à la version 19.11.
• Des informations complémentaires sont disponibles ici.