Vulnérabilités critiques dans Dell

Risques

• Contournement de la politique de sécurité
• Atteinte à l'intégrité des données

Criticité

• Score CVSS v3.1: 9.1 max

La faille est activement exploitée

• Non pour l’ensemble des vulnérabilités

Un correctif existe

• Oui pour l’ensemble des vulnérabilités

Une mesure de contournement existe

Pour la CVE-2022-26851 et la CVE-2022-26852

• Non

Pour la CVE-2022-26854

• Oui

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-26851

• CWE-330: Use of Insufficiently Random Values

Pour la CVE-2022-26852

• CWE-337: Predictable Seed in Pseudo-Random Number Generator (PRNG)

Pour la CVE-2022-26854

• CWE-327: Use of a Broken or Risky Cryptographic Algorithm

Détails sur l’exploitation

Pour la CVE-2022-26851

• Vecteur d’attaque : Réseau.
• Complexité de l’attaque : Faible.
• Privilèges nécessaires pour réaliser l’attaque : Aucun.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-26852

• Vecteur d’attaque : Réseau.
• Complexité de l’attaque : Élevée.
• Privilèges nécessaires pour réaliser l’attaque : Aucun.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-26854

• Vecteur d’attaque : Réseau.
• Complexité de l’attaque : Élevée.
• Privilèges nécessaires pour réaliser l’attaque : Aucun.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

• Dell PowerScale OneFS dans ses versions 8.2.2 à 9.3.x

• Mettre à jour Dell PowerScale OneFS à la version 9.4.0. Des informations complémentaires sont disponibles ici.

Mesure de contournement

Pour la CVE-2022-26854

• Une mesure de contournement est disponible ici.