Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Dell NetWorker (CVE-2023-25539)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
31/05/2023
Última modificación:
07/06/2023

Descripción

Dell NetWorker v19.6.1.2 contiene una vulnerabilidad de inyección de comandos del sistema operativo en el cliente NetWorker. Un atacante remoto no autenticado podría explotar potencialmente esta vulnerabilidad, llevando a la ejecución de comandos arbitrarios del sistema operativo en el sistema operativo subyacente de la aplicación, con los privilegios de la aplicación vulnerable. Se trata de una vulnerabilidad de alta gravedad, ya que su explotación permite a un atacante hacerse con el control total de un sistema, por lo que Dell recomienda a los clientes que actualicen lo antes posible.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:dell:networker:*:*:*:*:*:*:*:* 19.7.0.4 (excluyendo)
cpe:2.3:a:dell:networker:19.7.1:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*