Dell ha lanzado una actualización de seguridad para PowerProtect Data Manager Appliance. Esta actualización aborda múltiples vulnerabilidades de severidad crítica en los sistemas afectados.
Productos afectados
- PowerProtect Data Manager Appliance, versiones anteriores a 5.19.0.0.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-31651: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de neutralización incorrecta de secuencias de escape, metadatos o de control en Apache Tomcat. Esto podría permitir a un actor malicioso enviar una solicitud especialmente diseñada que podría eludir algunas reglas de reescritura.
CVE-2024–52533: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad en gio/gsocks4aproxy.c en GNOME GLib antes de la versión 2.82.1. Hay un error de off-by-one y un desbordamiento de búfer resultante porque SOCKS4_CONN_MSG_LEN no es suficiente para un carácter ‘\0’ final. Un actor malicioso podría lograr la modificación de memoria o provocar un estado de denegación de servicio.
CVE-2024–45490: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad debido a que xmlparse.c no rechaza una longitud negativa para XML_ParseBuffer(). Un actor malicioso podría aprovechar esta vulnerabilidad para causar la corrupción de memoria o ejecución de código.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-31651
- https://nvd.nist.gov/vuln/detail/CVE-2024-52533
- https://nvd.nist.gov/vuln/detail/CVE-2024-45490
- https://www.dell.com/support/kbdoc/en-us/000355635/dsa-2025-301-security-update-for-dell-powerprotect-data-manager-appliance-dm5500-for-multiple-vulnerabilities