Dell Technologies, Storage Manager yazılımında, saldırganların kimlik doğrulamayı atlamasına, hassas bilgileri ifşa etmesine ve sistemlere yetkisiz erişim sağlamasına olanak verebilecek üç kritik güvenlik açığını açıkladı.
24 Ekim 2025’te duyurulan bu kusurlar, Dell Storage Manager’ın 20.1.21’e kadar olan sürümlerini etkiliyor ve depolama dizilerini yönetmek için bu araca güvenen kuruluşlar için önemli riskler oluşturuyor.
CVSS puanlarının 6,5 ila 9,8 arasında değiştiği güvenlik açıkları, yönetim arayüzlerinin güvenliğinde devam eden zorlukları vurguluyor ve potansiyel olarak kullanıcı etkileşimi olmadan uzaktan istismara olanak tanıyor.
En ciddi sorun olan CVE-2025-43995’in CVSS taban puanı 9,8 olup kritik olarak sınıflandırılmaktadır. Bu uygunsuz kimlik doğrulama kusuru, DSM Veri Toplayıcı bileşeninde bulunmaktadır.
Uzaktan erişime sahip, kimliği doğrulanmamış bir saldırgan, özel bir SessionKey ve UserId oluşturarak DataCollectorEar.ear içindeki ApiProxy.war dosyasında bulunan açık API’lerden yararlanabilir.
Bu kimlik bilgileri, Compellent Services API’sinde dahili amaçlarla oluşturulan özel kullanıcılardan yararlanarak saldırganların koruma mekanizmalarından tamamen kaçmasına olanak tanır.
Suistimal, vektör dizisinde ayrıntılı olarak açıklandığı gibi yüksek gizlilik, bütünlük ve kullanılabilirlik etkileri de dahil olmak üzere tam sistem güvenliğinin ihlal edilmesine yol açabilir: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
Yüksek Riskli Kimlik Doğrulama Açıkları Ortaya Çıktı
Bunu tamamlayan, kritik bir işlev için eksik bir kimlik doğrulama kontrolünü içeren, 8,6 puan alan CVE-2025-43994’tür.
Yine DSM 20.1.21’i hedef alan bu güvenlik açığı, kimlik doğrulaması yapılmamış uzaktaki saldırganların bilgilerin açığa çıkmasını tetiklerken aynı zamanda hizmet kullanılabilirliğini kesintiye uğratmasına olanak tanır.
CVSS vektörü CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H düşük karmaşıklığı ve hiçbir ayrıcalık gerekmediğini gösterir, bu da onu fırsatçı bilgisayar korsanları için birincil hedef haline getirir.
Saldırganlar, yapılandırma verilerini veya operasyonel ayrıntıları çıkararak daha geniş ağ saldırılarının önünü açabilir.
Üçüncü bir güvenlik açığı olan CVE-2025-46425, 20.1.20 sürümünü etkiliyor ve XML harici varlık referanslarına uygunsuz bir kısıtlama getirerek 6,5 puan alıyor.
Uzaktaki bir saldırgan, düşük ayrıcalıklara ihtiyaç duysa da hassas dosyaları okumak için bundan yararlanabilir ve bütünlüğü veya kullanılabilirliği doğrudan etkilemeden yetkisiz erişime yol açabilir (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N). Bu XXE kusuru, depolama yönetimi araçlarında güvenilmeyen XML girişlerinin ayrıştırılmasının tehlikelerinin altını çiziyor.
| CVE Kimliği | Tanım | CVSS Taban Puanı | Vektör Dizisi |
|---|---|---|---|
| CVE-2025-43995 | Yanlış Kimlik Doğrulama (Bypass) | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2025-43994 | Eksik Kimlik Doğrulaması (Açıklama) | 8.6 | CVSS: 3.1/AV: n/Ac: l/pr: n/ui: n/s: u/c: l/i: l/a: h |
| CVE-2025-46425 | XXE Referans Güvenlik Açığı | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Dell Depolama Yöneticisi Güvenlik Açıkları
Dell, anında güncellemeleri vurgulayarak müşterilerini hem temel hem de çevresel CVSS puanlarını kullanarak riskleri değerlendirmeye teşvik eder.
Etkilenen ürünler arasında 2020 R1.21 öncesi Dell Storage Manager sürümleri; Düzeltme, Dell’in Storage SC2000 sürücülerine yönelik destek sitesinden indirilebilen 2020 R1.22 veya üzeri sürümlerde mevcuttur.
Öneride, iyileştirme kılavuzunu iyileştirmek için aynı gün içinde hızlı bir revizyon yapıldı. CVE-2025-43994 ve CVE-2025-43995’i keşfettiği için Tenable’a ve bağımsız araştırmacı Ahmed Y.’ye teşekkür ederiz.
CVE-2025-46425 için Elmogy. Kuruluşlar veri merkezleri için depolama çözümlerine giderek daha fazla bağımlı hale geldikçe, bu açıklamalar kimlik doğrulama sağlamlaştırmaya ve düzenli güvenlik açığı taramasına öncelik verilmesi gerektiğini hatırlatıyor.
Henüz aktif bir istismar rapor edilmedi ancak uzaktan erişimin kolaylığı, olası ihlalleri önlemek için hızlı eylemin gerekli olmasını sağlıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
