DELL EMC UK
Ang isang XML External Entity (XEE) na kahinaan sa pag-iniksyon ay natuklasan sa bersyon ng EMC Data Protection Advisor ng Dell na 6.4 hanggang 6.5. Ang kahinaan na ito ay matatagpuan sa REST API at maaari nitong payagan ang isang napatunayan na remote na nakakahamak na umaatake na ikompromiso ang mga apektadong system sa pamamagitan ng pagbabasa ng mga file ng server o pagdudulot ng isang Pagtanggi ng Serbisyo (DoS na pag-crash sa pamamagitan ng malisyosong paggawa ng Mga Kahulugan ng Uri ng Dokumento (DTDs) sa pamamagitan ng kahilingan sa XML.
Ang Dell EMC Data Protection Advisor ay idinisenyo upang magbigay ng isang solong platform para sa backup ng data, pagbawi, at pamamahala. Dinisenyo ito upang magbigay ng pinag-isang analytics at pananaw para sa mga kapaligiran sa IT sa malalaking mga korporasyon. Awtomatiko nito ang isang beses na manu-manong proseso at nagbibigay ng pinahusay na kahusayan at mas mababang mga benepisyo sa gastos. Sinusuportahan ng application ang isang malawak na hanay ng mga teknolohiya at software bilang bahagi ng backup database nito at kumikilos ito bilang mainam na tool upang matiyak na ang mga pag-audit ay nasusunod para sa proteksyon.
Ang kahinaan na ito ay naitalaga ang tatak CVE-2018-11048 , hinusgahan na magkaroon ng isang matinding peligro ng peligro, at alinsunod dito ay nakatalaga sa isang marka ng CVSS 3.0 Base na 8.1. Ang kahinaan ay nakakaapekto sa mga bersyon ng DELL EMC Data Protection Advisor na 6.2, 6.3, 6.4 (bago ang patch B180), at 6.5 (bago ang patch B58). Ang kahinaan ay natagpuan din na nakakaapekto sa mga bersyon ng Integrated Data Protection Appliance na 2.0 at 2.1.
Alam ng Dell ang kahinaan na ito sa paglabas nito ng mga pag-update para sa produktong ito upang mapagaan ang mga masasamantalang bunga. Ang mga patch B180 o mas bago ay naglalaman ng kinakailangang mga pag-update para sa bersyon 6.4 ng Dell EMC Data Protection Advisor at mga patch na B58 o mas bago ay naglalaman ng kinakailangang mga pag-update nang naaayon para sa bersyon 6.5 ng programa.
Ang mga nakarehistrong Dell EMC Online Support customer ay madali mag-download ang kinakailangang patch mula sa web page ng Suporta ng EMC. Dahil ang kahinaan na ito ay nasa isang mataas na peligro ng pagsasamantala sa kanyang XEE injection na kahinaan at potensyal na pag-crash ng DoS, ang mga gumagamit (lalo na ang mga tagapangasiwa ng malalaking negosyo na gumagamit ng platform) ay hiniling na ilapat kaagad ang patch upang maiwasan ang kompromiso ng system.
