DELL EMC UK
Ranjivost ubrizgavanja XML vanjskog entiteta (XEE) otkrivena je u Dellovoj EMC savjetnici za zaštitu podataka verzije 6.4 do 6.5. Ova se ranjivost nalazi u REST API-ju i mogla bi omogućiti autentičnom udaljenom zlonamjernom napadaču da ugrozi pogođene sustave čitajući datoteke poslužitelja ili uzrokujući odbijanje usluge (pad DoS-a kroz zlonamjerno izrađene definicije vrsta dokumenta (DTD) kroz XML zahtjev.
Dell EMC savjetnik za zaštitu podataka osmišljen je kako bi pružio jedinstvenu platformu za izradu sigurnosnih kopija, oporavak i upravljanje. Dizajniran je za pružanje objedinjene analitike i uvida za IT okruženja u velikim korporacijama. Automatizira nekad ručni postupak i pruža povećanu učinkovitost i niže troškove. Aplikacija podržava širok spektar tehnologija i softvera kao dio svoje sigurnosne kopije baze podataka i djeluje kao idealan alat koji osigurava poštivanje revizija radi zaštite.
Ovoj ranjivosti dodijeljena je oznaka CVE-2018-11048 , za koje je procijenjeno da imaju visoku ozbiljnost rizika, te je u skladu s tim dodijelio CVSS 3.0 osnovnu ocjenu 8,1. Ranjivost utječe na verzije 6.2, 6.3, 6.4 (prije zakrpe B180) i 6.5 (prije zakrpe B58) savjetnika za zaštitu podataka DELL EMC. Također je utvrđeno da ranjivost utječe na verzije 2.0 i 2.1 Integriranog uređaja za zaštitu podataka.
Dell je upoznat s ovom ranjivošću jer je objavio ažuriranja za svoj proizvod kako bi ublažio posljedice iskorištavanja. Zakrpe B180 ili novije sadrže potrebna ažuriranja za verziju 6.4 Dell EMC savjetnika za zaštitu podataka, a zakrpe B58 ili novije sadrže potrebna ažuriranja za verziju 6.5 programa.
Kupci registrirane Dell EMC mrežne podrške to mogu lako preuzimanje datoteka potrebnu zakrpu s web stranice EMC podrške. Budući da je ova ranjivost pod visokim rizikom od iskorištavanja s ranjivošću ubrizgavanja XEE i potencijalnim padom DoS-a, od korisnika (posebno administratora velikih poduzeća koji koriste platformu) se traži da odmah primijene zakrpu kako bi se izbjegao kompromis sustava.
