CVE-2025-46644CVE-2025-46644是Dell PowerProtect Data Domain设备中存在的操作系统命令注入漏洞。该漏洞存在于Data Domain Operating System (DD OS)的多个版本中,攻击者可通过利用特制的输入参数在受影响系统上执行任意操作系统命令。漏洞的根本原因在于应用程序对用户输入的特殊元素缺乏适当的过滤和转义处理,导致攻击者可以将恶意命令附加到合法命令中执行。此漏洞需要攻击者具备本地访问权限和高特权账户才能成功利用,攻击成功后可能导致系统完整性受损、敏感数据泄露或服务可用性下降。Dell已发布安全更新修复此漏洞,建议受影响用户尽快升级到最新版本以消除安全风险。
该漏洞属于OS命令注入(OS Command Injection)类型,攻击者通过在应用程序输入字段中注入恶意构造的操作系统命令来实现未授权代码执行。在Dell PowerProtect Data Domain系统中,由于DD OS对用户提供的输入参数没有进行充分的输入验证和命令特殊字符转义,攻击者可以利用分号、管道符、&&、||等命令连接符将恶意命令附加到正常的系统命令后面执行。成功利用此漏洞需要满足以下条件:1)攻击者必须拥有受影响设备的高权限账户(如管理员权限);2)攻击者需要具备本地访问能力(物理访问或通过VPN/内网远程访问);3)目标系统运行在受影响的DD OS版本上。攻击者执行命令后可获得与Web服务相同权限的shell访问权限,可能导致配置文件读取、敏感数据外泄或进一步横向移动。