Article Number: 000222010
DSA-2024-042:针对多个漏洞的 Dell Unity、Dell Unity VSA 和 Dell Unity XT 安全更新
Summary: Dell Unity、Dell Unity VSA 和 Dell Unity XT 修复可用于多个安全漏洞,恶意用户可能会利用这些漏洞来破坏受影响的系统。
Article Content
Impact
Critical
Details
| 第三方组件 | CVE | 更多信息 |
|---|---|---|
| python-lxml | CVE-2022-2309 | 有关每个 CVE 的单独分数,请参阅下面的 NVD 链接。 http://nvd.nist.gov/  |
| python3-requests | CVE-2018-18074 | 有关每个 CVE 的单独分数,请参阅下面的 NVD 链接。 http://nvd.nist.gov/ |
| python3-urllib3 | CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116 | 有关每个 CVE 的单独分数,请参阅下面的 NVD 链接。 http://nvd.nist.gov/ |
| 专有代码 CVE | 描述 | CVSS 基本分数 | CVSS 矢量字符串 |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unity 5.4 之前的版本在其 svc_cbr 实用程序中包含一个操作系统命令注入漏洞。具有本地访问权限且经过身份验证的恶意用户可能会利用此漏洞,从而以易受攻击的应用程序的权限在应用程序的底层操作系统上执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity 5.4 之前的版本在其 svc_udoctor 实用程序中包含一个操作系统命令注入漏洞。具有本地访问权限且经过身份验证的恶意用户可能会利用此漏洞,从而以易受攻击的应用程序的权限在应用程序的底层操作系统上执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity 5.4 之前的版本在其 svc_tcpdump 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,从而以提升的权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity 5.4 之前的版本在 svc_oscheck 实用程序中包含命令注入漏洞。经过身份验证的攻击者可能会利用此漏洞,从而注入任意操作系统命令。此漏洞允许经过身份验证的攻击者以 root 权限执行命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity 5.4 之前的版本在 svc_topstats 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,从而利用 root 权限覆盖文件系统上的任意文件。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity 5.4 之前的版本在其 svc_topstats 实用程序中包含一个操作系统命令注入漏洞。经过身份验证的攻击者可能会利用此漏洞,从而以提升的权限执行任意命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity 5.4 之前的版本在其 svc_acldb_dump 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,导致以 root 权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity 5.4 之前的版本在其 svc_supportassist 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,导致以 root 权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity 5.4 之前的版本在其 svc_dc 实用程序中包含一个操作系统命令注入漏洞。经过身份验证的攻击者可能会利用此漏洞,从而利用 root 权限执行命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity 5.4 之前的版本在其 svc_cava 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,逃逸受限 shell 并使用 root 权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity 5.4 之前的版本在其 svc_nas 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,逃逸受限 shell 并使用 root 权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity 5.4 之前的版本在其 svc_cifssupport 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,逃逸受限 shell 并使用 root 权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity 5.4 之前的版本包含跨站点脚本漏洞。经过身份验证的攻击者可能会利用此漏洞,窃取会话信息、伪装成受影响的用户或执行此用户可以执行的任何操作,或者通常控制受害者的浏览器。 | 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity 5.4 之前的版本包含跨站点脚本 (XSS) 漏洞。经身份验证的攻击者可能会利用此漏洞,导致用户下载并执行此产品功能构建的恶意软件,从而破坏其系统。 | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
Dell Unity 5.4 之前的版本包含 SQL 注入漏洞。经过身份验证的攻击者可能会利用此漏洞,从而导致敏感信息泄露。 | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity 5.4 之前的版本在其 svc_supportassist 实用程序中包含路径遍历漏洞。经身份验证的攻击者可能会利用此漏洞,以提升的权限获得对存储在服务器文件系统上的文件的未经授权的写入访问权限。 | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| 专有代码 CVE | 描述 | CVSS 基本分数 | CVSS 矢量字符串 |
|---|---|---|---|
| CVE-2024-22223 |
Dell Unity 5.4 之前的版本在其 svc_cbr 实用程序中包含一个操作系统命令注入漏洞。具有本地访问权限且经过身份验证的恶意用户可能会利用此漏洞,从而以易受攻击的应用程序的权限在应用程序的底层操作系统上执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22222 |
Dell Unity 5.4 之前的版本在其 svc_udoctor 实用程序中包含一个操作系统命令注入漏洞。具有本地访问权限且经过身份验证的恶意用户可能会利用此漏洞,从而以易受攻击的应用程序的权限在应用程序的底层操作系统上执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0166 | Dell Unity 5.4 之前的版本在其 svc_tcpdump 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,从而以提升的权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0168 |
Dell Unity 5.4 之前的版本在 svc_oscheck 实用程序中包含命令注入漏洞。经过身份验证的攻击者可能会利用此漏洞,从而注入任意操作系统命令。此漏洞允许经过身份验证的攻击者以 root 权限执行命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0167 | Dell Unity 5.4 之前的版本在 svc_topstats 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,从而利用 root 权限覆盖文件系统上的任意文件。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0164 |
Dell Unity 5.4 之前的版本在其 svc_topstats 实用程序中包含一个操作系统命令注入漏洞。经过身份验证的攻击者可能会利用此漏洞,从而以提升的权限执行任意命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0165 |
Dell Unity 5.4 之前的版本在其 svc_acldb_dump 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,导致以 root 权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22225 |
Dell Unity 5.4 之前的版本在其 svc_supportassist 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,导致以 root 权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22227 |
Dell Unity 5.4 之前的版本在其 svc_dc 实用程序中包含一个操作系统命令注入漏洞。经过身份验证的攻击者可能会利用此漏洞,从而利用 root 权限执行命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-0170 |
Dell Unity 5.4 之前的版本在其 svc_cava 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,逃逸受限 shell 并使用 root 权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22224 |
Dell Unity 5.4 之前的版本在其 svc_nas 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,逃逸受限 shell 并使用 root 权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22228 |
Dell Unity 5.4 之前的版本在其 svc_cifssupport 实用程序中包含一个操作系统命令注入漏洞。经身份验证的攻击者可能会利用此漏洞,逃逸受限 shell 并使用 root 权限执行任意操作系统命令。 | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2024-22230 |
Dell Unity 5.4 之前的版本包含跨站点脚本漏洞。经过身份验证的攻击者可能会利用此漏洞,窃取会话信息、伪装成受影响的用户或执行此用户可以执行的任何操作,或者通常控制受害者的浏览器。 | 6.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| CVE-2024-0169 |
Dell Unity 5.4 之前的版本包含跨站点脚本 (XSS) 漏洞。经身份验证的攻击者可能会利用此漏洞,导致用户下载并执行此产品功能构建的恶意软件,从而破坏其系统。 | 5.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22221 |
Dell Unity 5.4 之前的版本包含 SQL 注入漏洞。经过身份验证的攻击者可能会利用此漏洞,从而导致敏感信息泄露。 | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N |
| CVE-2024-22226 |
Dell Unity 5.4 之前的版本在其 svc_supportassist 实用程序中包含路径遍历漏洞。经身份验证的攻击者可能会利用此漏洞,以提升的权限获得对存储在服务器文件系统上的文件的未经授权的写入访问权限。 | 3.3 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Affected Products and Remediation
| CVE 地址 | 产品 | 软件/固件 | 受影响的版本 | 修正版本 | 链接 |
|---|---|---|---|---|---|
| CVE-2024-22223、CVE-2024-22222、CVE-2024-0166、CVE-2024-0168、CVE-2024-0167、CVE-2024-0164、CVE-2024-0165、CVE-2024-22225、CVE-2024-22227、CVE-2024-0170、CVE-2024-22224、CVE-2024-22228、CVE-2024-22230、CVE-2024-0169、CVE-2024-22221、CVE-2024-22226、CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116、CVE-2018-18074、CVE-2022-2309 | Dell Unity | Dell Unity 操作环境 (OE) | 5.4 之前的版本 | 5.4.0.0.5.094 或更高版本 | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
| CVE 地址 | 产品 | 软件/固件 | 受影响的版本 | 修正版本 | 链接 |
|---|---|---|---|---|---|
| CVE-2024-22223、CVE-2024-22222、CVE-2024-0166、CVE-2024-0168、CVE-2024-0167、CVE-2024-0164、CVE-2024-0165、CVE-2024-22225、CVE-2024-22227、CVE-2024-0170、CVE-2024-22224、CVE-2024-22228、CVE-2024-22230、CVE-2024-0169、CVE-2024-22221、CVE-2024-22226、CVE-2018-20060、CVE-2019-9740、CVE-2019-11324、CVE-2020-26116、CVE-2018-18074、CVE-2022-2309 | Dell Unity | Dell Unity 操作环境 (OE) | 5.4 之前的版本 | 5.4.0.0.5.094 或更高版本 | https://www.dell.com/support/home/product-support/product/unity-all-flash-family/drivers |
Revision History
| 修订 | 日期 | 描述 |
|---|---|---|
| 1.0 | 2024-02-12 | 初版 |
| 2.0 | 2024-05-22 | 添加了外部链接图标,没有对内容进行其他更改。 |
Related Information
Legal Information
Article Properties
Affected Product
Dell EMC Unity, Dell Unity 450F DC, Product Security Information, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC
, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Unity All Flash, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Unity Hybrid flash, Dell Unity Operating Environment (OE), UnityVSA, Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
Last Published Date
23 May 2024
Article Type
Dell Security Advisory