Kritische Authentifizierungs­lücke in Dell Storage Manager ermöglicht Remote-Zugriff ohne Login

Dell warnt vor einer kritischen Sicherheitslücke (CVE-2025-43995) in Dell Storage Center / Dell Storage Manager (DSM) Version 20.1.21, die eine Umgehung der Authentifizierung erlaubt. Laut Dell kann ein unauthentifizierter, entfernter Angreifer über manipulierte Anfragen an die Komponente ApiProxy.war im DataCollectorEar.ear auf interne DSM-APIs zugreifen.

Die Schwachstelle wird mit einem CVSS-Score von 9.8 (kritisch) bewertet. Sie erlaubt es Angreifern, spezielle SessionKeys und UserIDs zu missbrauchen, die für interne Systemnutzer vorgesehen sind – was potenziell zum vollständigen Schutzmechanismus-Bypass führt.

Betroffene Systeme:

  • Dell Storage Manager / Storage Center Version 20.1.21

Dell hat ein Sicherheitsupdate (DSA-2025-393) veröffentlicht und empfiehlt dringend, die bereitgestellten Patches umgehend zu installieren. Ungepatchte Systeme könnten sonst aus der Ferne kompromittiert werden.

Related Posts

CVE-2025-9164: DLL-Hijacking in Docker Desktop Installer ermöglicht lokale Rechteausweitung

Eine neu veröffentlichte Schwachstelle (CVE-2025-9164, auch GHSA-5p9c-72f9-f98q, EUVD-2025-36191) betrifft den Docker Desktop Installer bis Version 4.48.0. Laut Advisory nutzt der Installer eine unsichere DLL-Suchreihenfolge und lädt Bibliotheken aus dem Downloads-Ordner des Benutzers, bevor Systemverzeichnisse geprüft werden.

Read More

Hackerangriff auf Jaguar Land Rover richtet 2,2 Mrd Euro Schaden an

Der massive Cyberangriff auf Jaguar Land Rover (JLR) hat den britischen Autobauer über sechs Wochen vollständig lahmgelegt und gilt laut dem Cyber Monitoring Centre (CMC) als „der wirtschaftlich schädlichste Cybervorfall in der britischen Geschichte“. Der geschätzte Gesamtschaden für die britische Volkswirtschaft beträgt rund 1,9 Milliarden Pfund (2,2 Milliarden Euro), wie die FAZ berichtet.

Read More

F5 meldet Sicherheitsvorfall mit Zugriff auf BIG-IP-Entwicklungsumgebung

Der IT-Sicherheitsanbieter F5 hat am 15. Oktober 2025 Details zu einem Sicherheitsvorfall veröffentlicht, bei dem ein staatlich unterstützter Angreifer im August 2025 langfristigen Zugriff auf interne Systeme hatte. Betroffen waren unter anderem die Entwicklungsumgebung der BIG-IP-Produkte sowie Plattformen zur Wissensverwaltung. Laut F5 wurden Dateien mit Quellcode und Informationen zu noch unveröffentlichten Schwachstellen entwendet.

Read More