Dellのユニファイドストレージ製品「Dell Unity」に複数の深刻な脆弱性が判明した。サードパーティ製ソフトウェアに関する脆弱性を含めると700件以上にのぼり、アップデートで解消されている。
同社は現地時間3月27日、「Dell Unity」や「同XT」、仮想アプライアンス版である「Dell UnityVSA」向けにセキュリティアドバイザリを公開。セキュリティアップデートで脆弱性へ対処したことを明らかにした。重要度を「クリティカル(Critical)」とレーティングしている。
製品固有の脆弱性として16件の脆弱性について明らかにした。具体的には認証を必要とすることなく、root権限で任意のコマンドが実行可能となるOSコマンドインジェクションの脆弱性「CVE-2025-22398」や、任意のファイルが削除されるおそれがある「CVE-2025-24383」などが含まれる。
特にこれら2件については共通脆弱性評価システム「CVSSv3.1」のベーススコアが、それぞれ「9.8」「9.1」と高い。さらに「CVE-2025-24381」が「8.8」と続き、11件が「7.8」、のこる2件については「7.3」と評価されている。
あわせて依存関係にあるサードパーティ製コンポーネントの脆弱性728件へ対処したことを明らかにした。
これら脆弱性は、「Dell Unity Operating Environment 5.5.0.0.5.259」および以降のバージョンで解消されているとして、利用者に注意を呼びかけている。今回公表された製品独自の脆弱性は以下のとおり。
CVE-2024-49563
CVE-2024-49564
CVE-2024-49565
CVE-2024-49566
CVE-2024-49601
CVE-2025-22398
CVE-2025-23383
CVE-2025-24377
CVE-2025-24378
CVE-2025-24379
CVE-2025-24380
CVE-2025-24381
CVE-2025-24382
CVE-2025-24383
CVE-2025-24385
CVE-2025-24386
(Security NEXT – 2025/03/31 )
ツイート
関連リンク
Dell:DSA-2025-116
Dell
PR
関連記事
「a-blog cms」に脆弱性、すでに攻撃も – 侵害状況の確認を
「Firefox」にアップデート – Chromeゼロデイの類似脆弱性に対処
「Microsoft Edge」にアップデート – ゼロデイ脆弱性を解消
「Chromium」ベースのブラウザ利用者はアップデート情報へ注意を
「Ghostscript」に複数の深刻な脆弱性 – 最新版で修正
「PowerCMS」に複数脆弱性 – アップデートで修正
「Next.js」脆弱性の概念実証が公開 – 脆弱なサーバを探索する動きも
「CrushFTP」に認証回避の脆弱性 – 早急にアップデートを
「Sitecore CMS」の既知脆弱性を狙う攻撃 – 米当局が注意喚起
Kubernetes「ingress-nginx」に脆弱性 – シークレット漏洩のおそれ
WACOCA: People, Life, Style.