10
Jul 2026
Alerta de Vulnerabilidade - Dell PowerProtect Data Domain
TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Dell PowerProtect Data Domain
ECOSSISTEMA
Outro
Descrição
Foram identificadas 6 vulnerabilidades no Dell PowerProtect Data Domain, divulgadas pelo fabricante no boletim de segurança DSA-2026-278 [1].
As versões afetadas são [1]:
- PowerProtect Data Domain 7.7.1.0 até 8.7.0.0
- LTS2026, versão 8.6.1.0 até 8.6.1.10
- LTS2025, versão 8.3.1.0 até 8.3.1.30
- LTS2024, versões 7.13.1.0 até 7.13.1.70
As vulnerabilidades identificadas são:
- CVE-2026-53478/EUVD-2026-41548 (CVSS - 7.2): neutralização incorreta de elementos especiais usados num comando do sistema operativo (OS Command Injection). Um atacante remoto com privilégios elevados pode explorar esta vulnerabilidade, resultando em execução de comandos [2][3].
- CVE-2026-53479/EUVD-2026-42040 (CVSS - 7.2): neutralização incorreta de elementos especiais usados num comando do sistema operativo (OS Command Injection). Um atacante remoto com privilégios elevados pode explorar esta vulnerabilidade, resultando em contorno de mecanismos de proteção, permitindo a execução arbitrária de comandos com privilégios de root [4][5].
- CVE-2026-53480/EUVD-2026-42244 (CVSS - 2.7): limitação incorreta de nomes de caminho a um diretório restrito (Path Traversal). Um atacante remoto com privilégios elevados pode explorar esta vulnerabilidade, resultando em modificação não autorizada de ficheiros [6][7].
- CVE-2026-53481/EUVD-2026-42038 (CVSS - 9.8): limitação incorreta de nomes de caminho a um diretório restrito (Path Traversal). Um atacante remoto sem autenticação pode explorar esta vulnerabilidade, resultando em acesso não autorizado ao sistema, permitindo o controlo total do mesmo [8][9].
- CVE-2026-53482/EUVD-2026-42243 (CVSS - 7.5): overflow de inteiros (Integer Overflow or Wraparound). Um atacante remoto sem autenticação pode explorar esta vulnerabilidade, resultando em negação de serviço [10][11].
- CVE-2026-53483/EUVD-2026-42036 (CVSS - 9.8): autenticação incorreta (Improper Authentication). Um atacante remoto sem autenticação pode explorar esta vulnerabilidade, resultando em acesso não autorizado, permitindo o controlo total do sistema [12][13].
Impacto
As vulnerabilidades permitem a um atacante, com ou sem autenticação dependendo da CVE, comprometer o Dell PowerProtect Data Domain através do envio de pedidos especialmente construídos, podendo resultar em execução arbitrária de comandos com privilégios de root, acesso não autorizado ao sistema, modificação não autorizada de ficheiros ou negação de serviço, consoante a vulnerabilidade explorada [1].As CVE-2026-53481 e CVE-2026-53483 apresentam severidade crítica (CVSS 9.8), não exigindo autenticação nem interação do utilizador, e permitem o controlo total do sistema, pelo que representam o maior risco entre as vulnerabilidades identificadas [1].
Resolução
- 8.8.0.0 ou posterior
- 8.6.1.20 ou posterior
- 8.3.1.40 ou posterior
- 7.13.1.80 ou posterior
Referências
[1] - https://www.dell.com/support/kbdoc/en-us/000481268/dsa-2026-278-security-update-for-dell-powerprotect-data-domain-multiple-vulnerabilities [2] - https://nvd.nist.gov/vuln/detail/CVE-2026-53478
[3] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-53478
[4] - https://nvd.nist.gov/vuln/detail/CVE-2026-53479
[5] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-53479
[6] - https://nvd.nist.gov/vuln/detail/CVE-2026-53480
[7] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-53480
[8] - https://nvd.nist.gov/vuln/detail/CVE-2026-53481
[9] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-53481
[10] - https://nvd.nist.gov/vuln/detail/CVE-2026-53482
[11] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-53482
[12] - https://nvd.nist.gov/vuln/detail/CVE-2026-53483
[13] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-53483
