Dell Unity: Angreifer können Schadcode mit Root-Rechten ausführen

Dells Speicherarray-Software für die EMC-Serie Unity, UnityVSA und Unity XT sind verwundbar. Angreifer können an vier Sicherheitslücken ansetzen. Eine dagegen gerüstete Version steht zum Download bereit.

Verschiedene Gefahren

In einer Warnmeldung führen die Entwickler aus, dass zwei Schwachstellen (CVE-2026-21418 „hoch“, CVE-2026-22277 „hoch“) die Software direkt betreffen. An beiden Lücken kann ein lokaler Angreifer mit niedrigen Nutzerrechten ansetzen. Weil Eingaben nicht ausreichend geprüft werden, können präparierte OS-Befehle Angreifer zum Root machen. In dieser Position kann er dann Schadcode ausführen und Systeme so kompromittieren.

Zwei weitere Schwachstellen betreffen die Drittanbieter-Komponenten DOMPurify (CVE-2024-47875 „mittel“) und Urlparse, urllib.parse.urlsplit (CVE-2025-0938 „mittel“). Hier kann es unter anderem zu XSS-Attacken kommen.

Dells Entwickler versichern, die Schwachstellen in Dell Unity Operating Environment (OE) 5.5.3 geschlossen zu haben. Alle vorigen Ausgaben sollen angreifbar sein. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

Zuletzt hat Dell Data Protection Advisor repariert.

(des)