Dell Technologies ha emitido una alerta de seguridad crítica informando a sus clientes sobre diversas vulnerabilidades de alta gravedad identificadas en PowerScale OneFS. Estas fallas podrían permitir que atacantes tomen control de cuentas de usuario con privilegios elevados.
La vulnerabilidad más crítica, con una puntuación CVSS de 9.8, representa un riesgo significativo al posibilitar que atacantes remotos no autenticados comprometan los sistemas afectados con un nivel de dificultad mínimo.
La vulnerabilidad más alarmante (CVE-2025-27690) afecta a las versiones 9.5.0.0 a 9.10.1.0 de PowerScale OneFS e implica el uso de una vulnerabilidad de contraseña predeterminada.
Esta falla permite a atacantes remotos no autenticados comprometer cuentas con altos privilegios mediante el uso de una vulnerabilidad de contraseña predeterminada, lo que plantea riesgos importantes para la infraestructura de almacenamiento empresarial.
Según el aviso de Dell, «un atacante no autenticado con acceso remoto podría explotar esta vulnerabilidad, lo que llevaría a tomar el control de una cuenta de usuario con altos privilegios».
Esta falla crítica tiene la calificación de gravedad más alta con una cadena de vector CVSS de CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, lo que indica que la explotación no requiere privilegios especiales ni interacción del usuario.
Una vulnerabilidad importante (CVE-2025-26330) afecta a las versiones 9.4.0.0 a 9.10.0.1 e implica una autorización incorrecta.
Esta falla podría permitir a los atacantes con acceso local acceder a los clústeres utilizando los privilegios anteriores de las cuentas de usuario deshabilitadas.
Con una puntuación CVSS de 7,0, esta vulnerabilidad presenta un riesgo sustancial para los entornos empresariales.
Los investigadores de seguridad también han identificado una vulnerabilidad de desbordamiento de enteros (CVE-2025-22471) que afecta a las versiones 9.4.0.0 a 9.10.0.1 y que podría provocar condiciones de denegación de servicio.
Además, CVE-2025-26480 presenta una vulnerabilidad de consumo de recursos incontrolado que de manera similar permite ataques de denegación de servicio.
Las vulnerabilidades exponen múltiples vectores de ataque contra las soluciones de almacenamiento empresarial de Dell. La falla más grave permite omitir la autenticación directa:
- Un atacante remoto apunta a la interfaz de administración de PowerScale OneFS expuesta
- La explotación de CVE-2025-27690 otorga acceso a cuentas con altos privilegios
- El atacante obtiene control a nivel de sistema de la infraestructura de almacenamiento
Los expertos en seguridad advierten que las organizaciones que ejecutan instalaciones de PowerScale OneFS sin parches enfrentan riesgos importantes para la integridad de los datos y la disponibilidad del sistema.
Mitigaciones
Dell recomienda a los clientes actualizar inmediatamente a versiones corregidas. Para la mayoría de las vulnerabilidades, incluida la crítica CVE-2025-27690, la actualización a la versión 9.10.1.1 o posterior proporciona protección.
Para las organizaciones que no pueden actualizar inmediatamente, Dell ha proporcionado varias soluciones:
Agregue usuarios afectados a la lista «Usuarios que no se pueden modificar» usando el comando:
Establecer/restablecer contraseñas para usuarios no bloqueados para su modificación en el proveedor de archivos de zona del sistema
Deshabilite WebUI y API a través de CLI:
Implemente reglas de firewall para limitar el acceso a API y WebUI desde redes confiables
Dell enfatiza que las organizaciones deben priorizar estas actualizaciones basándose tanto en las puntuaciones base CVSS como en cualquier factor temporal y ambiental relevante que pueda afectar la gravedad en sus entornos específicos.
La compañía recomienda encarecidamente a todos los clientes que adopten la versión 2025 de soporte a largo plazo (LTS), que es la línea de código 9.10.1.x, con la última versión de mantenimiento (actualmente 9.10.1.1).
