Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Dell Data Domain (CVE-2024-29174)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
26/06/2024
Última modificación:
23/09/2024

Descripción

Dell Data Domain, versiones anteriores a 7.13.0.0, LTS 7.7.5.30, LTS 7.10.1.20 contienen una vulnerabilidad de inyección SQL. Un atacante local con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de ciertos comandos SQL en la base de datos backend de la aplicación, lo que provocaría un acceso no autorizado a los datos de la aplicación.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:dell:data_domain_operating_system:*:*:*:*:*:*:*:* 7.7.5.40 (excluyendo)
cpe:2.3:o:dell:data_domain_operating_system:*:*:*:*:*:*:*:* 7.8.0.0 (incluyendo) 7.10.1.30 (excluyendo)
cpe:2.3:o:dell:data_domain_operating_system:*:*:*:*:*:*:*:* 7.11.0.0 (incluyendo) 7.13.1.0 (excluyendo)