Kritické zraniteľnosti v úložiskách Dell Unity, Dell UnityVSA a Dell Unity XT

Spoločnosť Dell vydala bezpečnostné aktualizácie na svoje úložiská Dell Unity, Dell UnityVSA a Dell Unity XT, ktoré opravujú 15 zraniteľností, z čoho 2 sú označené ako kritické. Kritickú zraniteľnosť s označením CVE-2025-22398 možno zneužiť na vzdialené vykonanie kódu a zraniteľnosť CVE-2025-24383 na vykonanie neoprávnených zmien v systéme, ktoré môžu spôsobiť úplnú nedostupnosť služieb.

Zraniteľné systémy:

• Dell Unity s Dell Unity Operating Environment (OE) vo verziách starších ako 5.5.0.0.5.259
• Dell UnityVSA s Dell Unity Operating Environment (OE) vo verziách starších ako 5.5.0.0.5.259
• Dell Unity XT s Dell Unity Operating Environment (OE) vo verziách starších ako 5.5.0.0.5.259

Opis činnosti:

Kritické zraniteľnosti

CVE-2025-22398 (CVSS skóre 9,8)

Zraniteľnosť spočíva v nesprávnej neutralizácii špeciálnych elementov používaných v príkazoch operačného systému. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie systémových príkazov s oprávneniami používateľa root a následné získanie úplnej kontroly nad systémom.

CVE-2025-24383 (CVSS skóre 9,1)

Zraniteľnosť spočíva v nesprávnej neutralizácii špeciálnych elementov používaných v príkazoch operačného systému. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na zmazanie ľubovoľných súborov na súborovom systéme zariadenia. Zmazanie súboru môže v závislosti od jeho využitia v systéme viesť k zmene konfigurácie alebo úplnej nedostupnosti systému.

Vysoko závažné zraniteľnosti

Identifikátor CVE-2025-24381 (CVSS skóre 8,8) je pridelený tzv. open redirect zraniteľnosti, ktorú by vzdialený neautentifikovaný útočník mohol zneužiť na presmerovanie používateľov na ľubovoľný URL odkaz. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí navštíviť špeciálne vytvorený URL odkaz.

Ostatné zraniteľnosti vysokej závažnosti (CVE-2024-49563, CVE-2024-49564, CVE-2024-49565, CVE-2024-49566, CVE-2025-23383, CVE-2025-24377, CVE-2025-24378, CVE-2025-24379, CVE-2025-24380, CVE-2025-24385, CVE-2025-24386, CVE-2024-49601, CVE-2025-24382) spočívajú v nesprávnej neutralizácii špeciálnych elementov používaných v príkazoch operačného systému a lokálny útočník by ich mohol zneužiť na eskaláciu privilégií a vzdialené vykonanie príkazov a kódu.

Možné škody:

• Vzdialené vykonanie príkazov
• Neoprávnená zmena v systéme
• Zneprístupnenie služby (DoS)
• Presmerovanie používateľov na škodlivé URL

Odporúčania:

Bezodkladná aktualizácia Dell Unity Operating Environment (OE) na Dell Unity, Dell UnityVSA a Dell Unity XT na verziu 5.5.0.0.5.259 alebo novšiu.

Zdroje:

• https://www.dell.com/support/kbdoc/en-us/000300090/dsa-2025-116-security-update-for-dell-unity-dell-unityvsa-and-dell-unity-xt-security-update-for-multiple-vulnerabilities
• https://securityonline.info/cve-2025-22398-dell-unity-hit-by-9-8-cvss-root-level-command-injection-flaw/