Dell đã phát hành một bản cập nhật bảo mật quan trọng cho nền tảng PowerProtect Data Manager (PPDM), nhằm khắc phục nhiều lỗ hổng Dell PowerProtect Data Manager có thể cho phép kẻ tấn công xâm nhập hệ thống và thực thi các lệnh tùy ý.

Cảnh báo bảo mật DSA-2025-326 tiết lộ một số lỗ hổng nghiêm trọng ảnh hưởng đến các phiên bản 19.19 và 19.20 của giải pháp bảo vệ dữ liệu doanh nghiệp này.

Các Lỗ Hổng Nghiêm Trọng Được Khắc Phục

Các lỗ hổng nghiêm trọng nhất bao gồm hai lỗ hổng tiêm lệnh (command injection) được theo dõi với mã CVE-2025-43884 và CVE-2025-43885.

CVE-2025-43884: Tiêm Lệnh Với Quyền Cao

CVE-2025-43884 có điểm CVSS 8.2. Lỗ hổng này yêu cầu quyền truy cập cục bộ với đặc quyền cao để khai thác thành công.

Nó ảnh hưởng đến thành phần Hyper-V và liên quan đến việc không xử lý đúng cách các ký tự đặc biệt được sử dụng trong các lệnh hệ điều hành.

Điều này tiềm ẩn nguy cơ cho phép kẻ tấn công thực thi các lệnh độc hại trên các hệ thống bị xâm nhập.

CVE-2025-43885: Tiêm Lệnh Với Quyền Thấp

Trong khi đó, CVE-2025-43885 có điểm CVSS 7.8. Lỗ hổng này chỉ yêu cầu quyền truy cập với đặc quyền thấp để khai thác.

Giống như CVE-2025-43884, nó cũng ảnh hưởng đến thành phần Hyper-V và có thể dẫn đến việc thực thi lệnh tùy ý.

CVE-2025-43888: Rò Rỉ Thông Tin Nhạy Cảm

Một lỗ hổng CVE đáng lo ngại khác là CVE-2025-43888, với điểm CVSS cao nhất là 8.8.

Lỗ hổng này liên quan đến việc chèn thông tin nhạy cảm vào các tệp nhật ký. Điều này cho phép kẻ tấn công có quyền truy cập cục bộ với đặc quyền thấp có thể truy cập trái phép dữ liệu hệ thống quan trọng.

Lỗ hổng ảnh hưởng đến thành phần Hyper-V của PowerProtect Data Manager, có thể làm lộ thông tin bí mật mà kẻ tấn công có thể lợi dụng để tiếp tục xâm nhập hệ thống.

Các Lỗ Hổng Đáng Chú Ý Khác

• CVE-2025-43725: Ảnh hưởng đến Generic Application Agent với điểm CVSS 7.8. Lỗ hổng này phát sinh từ các quyền mặc định không chính xác, có thể cho phép kẻ tấn công có đặc quyền thấp thực thi mã độc hại.
• CVE-2025-43887: Gây ra rủi ro leo thang đặc quyền với điểm CVSS 7.0, cho phép kẻ tấn công đạt được các cấp độ truy cập hệ thống cao hơn so với dự kiến.
• Lỗ hổng lưu trữ mật khẩu dạng văn bản thuần: (CVSS 5.0) Có thể làm lộ thông tin đăng nhập của người dùng cho kẻ tấn công có đặc quyền cao.
• CVE-2025-43886: Lỗ hổng duyệt thư mục (path traversal) với điểm CVSS 4.4, có thể cấp quyền truy cập hệ thống tệp trái phép.

Lỗ Hổng Từ Thành Phần Bên Thứ Ba

Ngoài các lỗ hổng Dell PowerProtect Data Manager trong mã nguồn độc quyền, bản cập nhật của Dell còn khắc phục nhiều lỗ hổng thành phần bên thứ ba. Các thành phần bị ảnh hưởng bao gồm:

• Apache Tomcat
• Spring Framework
• Java OpenJDK
• Apache Commons BeanUtils
• Apache CXF
• Logback
• Netty Project
• Và nhiều thành phần kernel khác.

Những lỗ hổng này có thể cung cấp thêm các vector tấn công cho các tác nhân độc hại, làm tăng nguy cơ xâm nhập vào hệ thống.

Khuyến Nghị Cập Nhật và Ảnh Hưởng

Dell khuyến nghị mạnh mẽ việc cập nhật bản vá bảo mật ngay lập tức lên phiên bản PowerProtect Data Manager 19.21 build 11 hoặc mới hơn để khắc phục tất cả các lỗ hổng Dell PowerProtect Data Manager đã được xác định.

Các tổ chức đang sử dụng các phiên bản bị ảnh hưởng cần ưu tiên bản cập nhật này, đặc biệt khi xét đến mức độ nghiêm trọng của rủi ro tiêm lệnh và rò rỉ thông tin.

Những rủi ro này có thể dẫn đến việc kiểm soát hoàn toàn hệ thống. Thông tin chi tiết có thể tham khảo tại cảnh báo bảo mật chính thức của Dell: Dell Security Advisory DSA-2025-326.