Dell Technologies ha emitido un asesoramiento crítico de advertencia a los clientes sobre múltiples vulnerabilidades graves en Powerscale ONE que permiten a los atacantes hacerse cargo de las importantes cuentas de los usuarios.
El defecto más grave asignado un puntaje CVSS de 9.8 permite a los atacantes remotos no autorizados comprometer el sistema afectado con un impacto mínimo.
Vulnerabilidad OneFS de escala de potencia crítica-CVE-2025-27690
La vulnerabilidad más alarmante (CVE-2025-27690) afecta las versiones de PowerScale OneFS 9.5.0.0 a 9.10.1.0, con el uso de la vulnerabilidad de contraseña predeterminada.
Este defecto permite a los atacantes remotos no autorizados usar vulnerabilidades de contraseña predeterminadas para comprometer cuentas significativas, plantea un riesgo significativo para la infraestructura de almacenamiento empresarial.
Dell informa que “los atacantes no reconocidos con acceso remoto podrían explotar esta vulnerabilidad, lo que lleva a la adquisición de cuentas de usuario altamente privilegiadas”.
Este importante defecto implica la clasificación de gravedad más alta en la cadena CVSS de CVSS. 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H Indica que la explotación no requiere privilegios especiales o intercambios de usuario.
Vulnerabilidades de seguridad adicionales
Las vulnerabilidades críticas (CVE-2025-26330) afectan las versiones 9.4.0.0 a 9.10.0.1 e implican una aprobación falsa.
Este defecto permite a los atacantes con acceso local para acceder al clúster de acceso utilizando privilegios anteriores de la cuenta de usuario fallida.
Con una puntuación CVSS de 7.0, esta vulnerabilidad plantea un riesgo significativo para el entorno empresarial.
Los investigadores de seguridad también identificaron una vulnerabilidad de desbordamiento entero (CVE-2025-22471).
Además, CVE-2025-26480 presenta una vulnerabilidad no controlada de consumo de recursos que permite ataques de servicio de manera similar.
La vulnerabilidad expone múltiples vectores de ataque a las soluciones de almacenamiento empresarial de Dell. Los defectos más graves permiten el omisión de autenticación directa.
Interfaz de administración de mana de potencia publicada de Target de Target remoto CVE-2025-27690 Acceso a atacantes subsidiados Atacadores Adquisición de adquisición Control de infraestructura de almacenamiento a nivel
Los expertos en seguridad advierten que las organizaciones que ejecutan las instalaciones de PowerScale OneFS de PowerScale enfrentan riesgos significativos en la integridad de los datos y la disponibilidad del sistema.
alivio
Dell recomienda a los clientes que actualicen y reparen las versiones de inmediato. Para la mayoría de las vulnerabilidades, incluida la CVE-2025-27690 crítica, la actualización a la versión 9.10.1.1 o posterior proporciona protección.
Para las organizaciones que no se pueden actualizar de inmediato, Dell ha proporcionado algunas soluciones.
Use el comando para agregar usuarios afectados a la lista de usuarios inmutables: Establezca/restablezca las contraseñas para los usuarios que no están bloqueados debido a los cambios en el proveedor de archivos de zona del sistema.
Dell enfatiza que las organizaciones necesitan priorizar estas actualizaciones en función de las puntuaciones base de CVSS y los factores temporales y ambientales relacionados que pueden afectar la gravedad de un entorno particular.
La compañía alienta encarecidamente a todos los clientes a adoptar la versión 2025 de soporte a largo plazo (LTS), una Codeline 9.10.1.x con la última versión de mantenimiento (actualmente 9.10.1.1).
