CVE-2026-28264Dell PowerProtect Agent Service 20.1之前的版本存在关键资源权限分配不当漏洞(CVE-2026-28264)。该漏洞源于系统对敏感文件或资源的访问控制设置错误,允许本地低权限用户读取受限数据。攻击者利用此漏洞可导致信息泄露,CVSS v3.1评分为3.3,属于低危级别。建议受影响用户尽快升级至官方修复版本以消除风险。
该漏洞的根本原因在于Dell PowerProtect Agent Service在部署过程中对关键系统资源(如配置文件、日志文件或临时数据目录)的访问控制列表(ACL)配置不当。具体而言,软件未能将敏感资源的读取权限限制在必要的系统服务或管理员账户范围内,而是错误地允许了本地低权限用户组(如Users组)进行读取操作。在利用方式上,攻击者首先需要在目标主机上拥有一个低权限的本地账户。随后,攻击者可以通过简单的文件系统浏览命令直接访问Agent的安装目录或数据存储路径。由于权限校验存在缺陷,攻击者能够成功读取包含敏感信息的文件,例如数据库连接字符串、加密凭证或内部网络拓扑信息,从而导致信息泄露。此过程无需用户交互,隐蔽性较高。