CVE-2026-35071Dell PowerScale InsightIQ 6.0.0至6.2.0版本存在严重的操作系统命令注入漏洞。该漏洞源于对特殊元素的不当中和,允许拥有高权限的本地攻击者利用此漏洞执行任意操作系统命令。成功利用可能导致攻击者完全控制受影响系统,严重影响数据的机密性、完整性和可用性。鉴于攻击条件仅需本地访问且无需用户交互,风险较高,建议立即采取补救措施。
该漏洞是由于Dell PowerScale InsightIQ在处理特定用户输入时,未能正确过滤或转义特殊字符(如分号、管道符、反引号等)导致的。当高权限攻击者获得本地访问权限后,可以通过构造恶意的命令字符串,将其注入到系统底层调用的OS命令执行函数中(如system()或exec()等)。由于缺乏有效的输入验证机制,应用程序会将攻击者提供的恶意数据当作系统指令执行。攻击者利用此漏洞可以绕过原有的权限限制,在底层操作系统上下文中执行任意代码。由于CVSS向量中范围(S:C)为已改变,该漏洞可能不仅影响应用程序本身,还可能波及到同一系统上的其他服务或组件,从而造成横向移动或全面的系统沦陷。