Dell vá các lỗ hổng nghiêm trọng trong Unity OS

[WhiteHat Team]

Dell đã phát hành bản cập nhật bảo mật cho Unity OS phiên bản 5.4 trở xuống, nhằm khắc phục nhiều lỗ hổng nghiêm trọng trong các sản phẩm Dell Unity, UnityVSA và Unity XT. Những lỗ hổng này có thể dẫn đến thực thi lệnh từ xa, xóa tệp tùy ý, chuyển hướng mở và leo thang đặc quyền.

Các lỗ hổng đáng chú ý:

• CVE-2025-22398 (CVSS 9.8) - Remote OS Command Injection => Lỗ hổng nghiêm trọng nhất

- Lỗ hổng chèn lệnh nguy hiểm nhất, cho phép kẻ tấn công chạy lệnh hệ điều hành với quyền root mà không cần xác thực. Có thể dẫn đến chiếm quyền kiểm soát toàn bộ hệ thống.

• CVE-2025-24383 (CVSS 9.1) – Xóa tệp tùy ý

- Kẻ tấn công có thể xóa bất kỳ tệp nào trên hệ thống với quyền root, ảnh hưởng nghiêm trọng đến tính ổn định và an toàn dữ liệu.

• CVE-2025-24381 (CVSS 8.8) – Lỗ hổng chuyển hướng mở

- Cấu hình sai URL có thể cho phép hacker chuyển hướng người dùng đến trang web lừa đảo, dẫn đến đánh cắp phiên đăng nhập.

• CVE-2024-49563 và các lỗ hổng khác (CVSS 7.8)

- CVE-2024-49563, CVE-2025-24377, CVE-2025-24378, CVE-2025-24379 và các lỗ hổng khác cho phép người dùng leo thang đặc quyền từ tài khoản có quyền thấp lên quyền root và thực thi lệnh tùy ý.

Dell hiện đã phát hành bản khắc phục dưới dạng Dell Unity Operating Environment (OE) Phiên bản 5.5.0.0.5.259 trở lên và khuyến cáo khách hàng nên nâng cấp lên phiên bản này sớm nhất có thể để giảm thiểu rủi ro liên quan đến các lỗ hổng này.

Theo Security Online​