CVE-2025-46645：戴尔PowerProtect Data Domain操作系统中存在CWE-78：操作系统命令中使用的特殊元素的不当中和漏洞（“操作系统命令注入”）

严重性：中等 类型：漏洞 CVE： CVE-2025-46645

功能版本7.7.1.0至8.4.0.0的戴尔PowerProtect Data Domain with Data Domain Operating System (DD OS)，LTS2025发布版本8.3.1.10，LTS2024发布版本7.13.1.0至7.13.1.40，LTS 2023发布版本7.10.1.0至7.10.1.70，包含一个“操作系统命令中使用的特殊元素的不当中和”漏洞（“操作系统命令注入”）。具有远程访问权限的高权限攻击者可能利用此漏洞，导致命令执行。

技术摘要

CVE-2025-46645是一个被归类为CWE-78的操作系统命令注入漏洞，存在于运行Data Domain Operating System (DD OS) 功能版本7.7.1.0至8.4.0.0（包括2023、2024和2025年的长期支持版本）的戴尔PowerProtect Data Domain系统中。该漏洞源于对操作系统命令中特殊元素的不当中和，允许具有高权限的远程攻击者注入并执行任意的操作系统命令。此缺陷无需用户交互，但要求攻击者具有高权限和系统远程访问权限。成功利用的影响包括可能危害系统完整性和可用性，因为攻击者可以执行命令来中断备份操作或操纵存储的数据。CVSS v3.1基础评分为6.5，反映了中等严重性，原因是需要高权限且不影响保密性。目前尚无已知的公开利用程序，但该漏洞存在于广泛部署的企业备份设备中，使其成为一个值得关注的重要问题。在发布时缺乏可用补丁，因此需要通过访问控制和监控立即进行风险缓解。戴尔PowerProtect Data Domain通常用于企业环境进行备份和灾难恢复，这使得此漏洞对于依赖这些系统进行数据保护的组织尤为相关。

潜在影响

对于欧洲组织，利用CVE-2025-46645可能导致在关键备份基础设施上执行未经授权的命令，可能导致数据损坏、删除或中断备份服务。这可能损害数据完整性和可用性，影响业务连续性和恢复能力。严重依赖戴尔PowerProtect Data Domain进行安全可靠数据备份的金融、医疗保健、电信和政府等行业的组织面临更高风险。中等严重性评级反映了利用需要高权限，但考虑到备份系统通常在网络内具有提升的访问权限并受信任，成功的攻击可能产生连锁效应。此外，备份系统的中断可能会延迟事件响应和从其他网络事件中的恢复，从而增加整体组织风险。缺乏已知利用程序可降低直接风险，但并不能消除威胁，特别是随着攻击者可能随着时间的推移开发利用程序。欧洲实体必须考虑对遵守GDPR等数据保护法规的潜在影响，在这些法规中数据可用性和完整性至关重要。

缓解建议

1. 立即将对戴尔PowerProtect Data Domain系统的远程访问限制为仅限受信任的管理员，并在可能的情况下使用网络分段和VPN。
2. 实施严格的访问控制，并监控受影响系统上异常或未经授权的特权活动。
3. 定期审计和审查用户权限，以确保执行最小权限原则，最大限度减少具有高级别访问权限的用户数量。
4. 部署基于主机的入侵检测系统 (HIDS) 和日志监控，以检测指示利用尝试的可疑命令执行模式。
5. 一旦戴尔发布解决CVE-2025-46645的官方补丁或更新，应优先在所有受影响的环境中部署。
6. 对管理备份基础设施的管理员进行安全意识培训，以识别和响应潜在的利用迹象。
7. 保持备份系统配置和数据的更新备份，以便在发生泄露时能够恢复。
8. 与戴尔支持联系并订阅安全公告，以了解更新和缓解指南的最新信息。
9. 考虑在备份系统上实施应用程序白名单或命令限制，以限制未经授权命令的执行。
10. 定期进行侧重于备份基础设施的漏洞评估和渗透测试，以主动识别和修复弱点。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、瑞典、比利时、波兰、瑞士

来源：CVE数据库 V5 发布日期：2026年1月9日，星期五

技术细节

数据版本： 5.2 分配者短名称： dell 预留日期： 2025-04-26T05:03:53.131Z CVSS版本： 3.1 状态： 已发布 威胁ID： 69614e21047de42cfc77cc6e 添加到数据库时间： 2026年1月9日，下午6:51:13 最后丰富时间： 2026年1月9日，下午6:58:42 最后更新时间： 2026年1月10日，下午10:36:10 浏览量： 17