DELL EMC UK
XML išorinio subjekto (XEE) injekcijos pažeidžiamumas buvo aptiktas „Dell“ EMC duomenų apsaugos patarėjo 6.4–6.5 versijose. Šis pažeidžiamumas randamas REST API ir jis gali leisti atpažintam nuotoliniam kenkėjiškam užpuolikui pakenkti paveiktoms sistemoms, skaitydamas serverio failus arba sukeldamas paslaugų atsisakymą („DoS“ avarija per kenkėjiškai sukurtus dokumentų tipo apibrėžimus (DTD) per XML užklausą.
„Dell EMC“ duomenų apsaugos patarėjas sukurtas siekiant sukurti vieną duomenų atsarginių kopijų kūrimo, atkūrimo ir valdymo platformą. Jis skirtas teikti vieningą analizę ir įžvalgas apie didelių korporacijų IT aplinką. Tai automatizuoja vieną kartą rankinį procesą ir užtikrina didesnį efektyvumą bei mažesnes sąnaudas. Programa palaiko platų technologijų ir programinės įrangos asortimentą kaip atsarginės duomenų bazės dalį ir veikia kaip ideali priemonė užtikrinant, kad būtų laikomasi auditų.
Šiam pažeidžiamumui buvo priskirta etiketė CVE-2018-11048 , manoma, kad rizika yra labai sunki, ir atitinkamai paskyrė CVSS 3.0 bazinį balą 8,1. Pažeidžiamumas veikia „DELL EMC Data Protection Advisor“ versijas 6.2, 6.3, 6.4 (prieš pataisą B180) ir 6.5 (prieš pataisą B58). Taip pat nustatyta, kad pažeidžiamumas gali paveikti „Integrated Data Protection Appliance“ 2.0 ir 2.1 versijas.
„Dell“ žino apie šį pažeidžiamumą ir išleido savo produkto naujinius, kad sumažintų išnaudojimo pasekmes. B180 ar naujesnėse pataisose yra būtini „Dell EMC Data Protection Advisor“ 6.4 versijos atnaujinimai, o B58 arba naujesnėse pataisose - būtini programos 6.5 versijos atnaujinimai.
Registruoti „Dell EMC Online Support“ klientai gali lengvai parsisiųsti reikiamą pataisą iš EMC palaikymo tinklalapio. Kadangi šiam pažeidžiamumui kyla didelė rizika jį išnaudoti dėl jo XEE injekcijos pažeidžiamumo ir galimo DoS gedimo, vartotojų (ypač platformą naudojančių didelių įmonių administratorių) prašoma nedelsiant pritaikyti pleistrą, kad būtų išvengta sistemos pažeidimų.
