Dell giải quyết các lỗ hổng bảo mật trong PowerScale OneFS

Dell đã phát hành một tư vấn bảo mật giải quyết nhiều lỗ hổng trong PowerScale OneFS, hệ điều hành lưu trữ gắn liền với mạng mở rộng quy mô của nó. Các lỗ hổng có thể được khai thác bởi những người dùng độc hại để xâm phạm các hệ thống bị ảnh hưởng.

  • CVE-2025-27690: Sử dụng lỗ hổng mật khẩu mặc định trong các phiên bản OneFs PowersCale 9.5.0.0 đến 9.10.1.0. Một kẻ tấn công không được xác thực có quyền truy cập từ xa có thể khai thác điều này để chiếm lấy tài khoản người dùng có đặc quyền cao (CVSS: 9.8).

  • CVE-2025-26330: Một lỗ hổng ủy quyền không chính xác trong các phiên bản OneFs Powerscale 9.4.0.0 đến 9.10.0.1. Một kẻ tấn công không được xác thực có quyền truy cập cục bộ có thể khai thác điều này để truy cập cụm với các đặc quyền của tài khoản người dùng bị vô hiệu hóa (CVSS: 7.0).

  • CVE-2025-22471: Một lỗ hổng số nguyên hoặc lỗ hổng bao quanh trong các phiên bản Onefs Powerscale 9.4.0.0 đến 9.10.0.1. Một kẻ tấn công không xác thực với quyền truy cập từ xa có thể khai thác điều này để gây ra sự từ chối dịch vụ (CVSS: 6,5).

  • CVE-2025-26480: Lỗ hổng tiêu thụ tài nguyên không kiểm soát được trong OneFS PowerScale 9.5.0.0 đến 9.10.0.0. Một kẻ tấn công không được xác thực với quyền truy cập từ xa có thể khai thác điều này để gây ra từ chối dịch vụ (CVSS: 5.3).

  • CVE-2025-23378: Lộ thông tin thông qua lỗ hổng liệt kê thư mục trong OneFS PowerScale phiên bản 9.4.0.0 đến 9.10.0.0. Một kẻ tấn công có đặc quyền thấp với quyền truy cập cục bộ có thể khai thác điều này để tiết lộ thông tin (CVSS: 3.3).

  • CVE-2025-26479: Lỗ hổng ghi ngoài giới hạn trong OneFS PowerScale phiên bản 9.4.0.0 đến 9.10.0.0. Kẻ tấn công có thể khai thác điều này trong quy trình làm việc NFS, dẫn đến các vấn đề về tính toàn vẹn dữ liệu (CVSS: 3.1).

Trong hầu hết các trường hợp, nâng cấp lên PowerScale OneFS phiên bản 9.10.1.1 trở lên sẽ giải quyết các lỗ hổng. Đối với lỗ hổng CVE-2025-27690 có mức độ nghiêm trọng cao, một số giải pháp có thể được triển khai cho đến khi bản nâng cấp hoặc bản vá được áp dụng. Các giải pháp này bao gồm:

  • Thêm người dùng bị ảnh hưởng vào danh sách 'Người dùng không thể sửa đổi'.

  • Đặt lại mật khẩu cho người dùng không bị chặn để sửa đổi và vô hiệu hóa chúng.

  • Tắt WebUI và API thông qua CLI.

  • Giới hạn quyền truy cập vào API & WebUI cho các mạng đáng tin cậy thông qua các quy tắc tường lửa.

Nguồn: Daily CyberSecurity

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Máy tính để bàn ảo VDI.

  • Lưu trữ dữ liệu Drive.

  • Quản lý dịch vụ công nghệ thông tin ITSM.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: