Vulnerabilidad en Dell PowerProtect Data Domain (CVE-2025-36594)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

04/08/2025

Última modificación:

16/10/2025

Descripción

Dell PowerProtect Data Domain con el sistema operativo Data Domain (DD OS) de las versiones Feature Release 7.7.1.0 a 8.3.0.15, LTS2024 de las versiones 7.13.1.0 a 7.13.1.25 y LTS 2023 de las versiones 7.10.1.0 a 7.10.1.60, presenta una vulnerabilidad de omisión de autenticación por suplantación de identidad. Un atacante no autenticado con acceso remoto podría explotar esta vulnerabilidad, lo que podría provocar la omisión del mecanismo de protección. Un usuario remoto no autenticado puede crear una cuenta que exponga la información del cliente y afecte la integridad y la disponibilidad del sistema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:dell:data_domain_operating_system::::::::	7.7.1.0 (incluyendo)	7.10.1.70 (excluyendo)
cpe:2.3:o:dell:data_domain_operating_system::::::::	7.13.1.0 (incluyendo)	7.13.1.30 (excluyendo)
cpe:2.3:o:dell:data_domain_operating_system::::::::	8.0.0.0 (incluyendo)	8.3.1.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://www.dell.com/support/kbdoc/en-us/000348708/dsa-2025-159-security-update-for-dell-powerprotect-data-domain-multiple-vulnerabilities