كشفت شركة Dell Technologies عن 3 ثغرات أمنية بالغة الخطورة في برنامجها Storage Manager المخصص لإدارة أنظمة التخزين المؤسسية، يمكن أن تتيح للمهاجمين تجاوز إجراءات المصادقة والوصول غير المصرح به إلى الأنظمة والتحكم الكامل فيها.
أعنت الشركة عن الثغرات في 24 أكتوبر 2025، وتشمل جميع الإصدارات حتى النسخة 20.1.21 من Dell Storage Manager، وهي أداة تعتمد عليها آلاف المؤسسات لإدارة مصفوفات التخزين ومراقبة بياناتها الحيوية.
ثغرة CVE-2025-43995: تجاوز المصادقة الكاملة
تحمل الثغرة الأولى الرمز CVE-2025-43995 وتعد الأخطر بين الثلاث، إذ حصلت على تقييم 9.8 وفق مقياس CVSS، ما يجعلها ضمن الفئة الحرجة. وتكمن المشكلة في مكون DSM Data Collector الذي يتعامل مع واجهات برمجة التطبيقات الخاصة بالنظام.
يمكن لمهاجم غير مصادق يمتلك وصولاً عن بعد استغلال واجهات API المكشوفة داخل الملف ApiProxy.war ضمن حزمة DataCollectorEar.ear، عبر إنشاء SessionKey وUserId مزيفين مستندين إلى حسابات داخلية في Compellent Services API. تسمح هذه التقنية بتجاوز كامل لآليات الحماية وتنفيذ أوامر على مستوى النظام.
ويصف متجه التقييم الثغرة كالآتي:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
ما يعني أن الاستغلال يتم عن بعد، منخفض التعقيد، ولا يتطلب صلاحيات أو تفاعل من المستخدم، مع تأثيرات عالية على السرية والتكامل والتوافر.
ثغرة CVE-2025-43994: فجوة في التحقق تؤدي لتسرب المعلومات
حصلت الثغرة الثانية CVE-2025-43994 على تقييم 8.6 وتتمثل في غياب تحقق المصادقة لوظيفة حرجة داخل البرنامج.
تؤثر الثغرة في نفس إصدار 20.1.21، وتتيح لمهاجمين غير مصادقين تنفيذ استدعاءات عن بعد تؤدي إلى كشف بيانات التكوين وربما تعطيل الخدمة.
يظهر متجه التقييم:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
وهو ما يعني أن الهجوم منخفض التعقيد ولا يتطلب صلاحيات مسبقة، مع احتمال مرتفع للتعطيل أو تسريب بيانات العمليات، ما يجعلها هدفاً مغرياً للهجمات الانتهازية.
ثغرة CVE-2025-46425: معالجة غير آمنة لملفات XML
تؤثر الثغرة الثالثة CVE-2025-46425، التي اكتشفها الباحث الأمني المستقل أحمد الهموجي، في الإصدار 20.1.20 وتتمثل في ضعف قيود معالجة كيانات XML الخارجية (XXE)، ما يجعل النظام عرضة لقراءة ملفات حساسة دون الحاجة إلى امتيازات عالية.
حصلت الثغرة على تقييم 6.5 وفق المتجه:
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
وتبرز خطر الاعتماد على تحليل XML غير الموثوق في أدوات الإدارة الحساسة مثل برامج إدارة التخزين.
تفاصيل الثغرات ومستويات الخطورة
| المتجه الفني | التقييم | الوصف | رقم الثغرة |
|---|---|---|---|
| C:H/I:H/A:H | 9.8 | تجاوز المصادقة | CVE-2025-43995 |
| C:L/I:L/A:H | 8.6 | فقدان التحقق في وظيفة حرجة | CVE-2025-43994 |
| C:H/I:N/A:N | 6.5 | ضعف في معالجة كيانات XML | CVE-2025-46425 |
التوصيات وإجراءات المعالجة
حثت Dell عملاءها على التقييم الفوري للمخاطر بناءً على كل من التقييم الأساسي والبيئي لمقياس CVSS، وتثبيت التحديث العاجل إلى الإصدار 2020 R1.22 أو أحدث، والمتاح عبر موقع دعم الشركة الخاص بمنتجات التخزين SC2000.
كما تم تحديث الإرشادات في اليوم نفسه لتوضيح خطوات التصحيح، ونسبت الشركة اكتشاف الثغرتين CVE-2025-43994 وCVE-2025-43995 إلى شركة Tenable، في حين نسبت الثغرة الثالثة إلى الباحث المستقل أحمد الهموجي.
رغم عدم تسجيل أي استغلال فعلي حتى الآن، إلا أن سهولة الوصول عن بعد عبر الشبكة تجعل الاستجابة السريعة أمراً ضرورياً لتفادي اختراقات محتملة قد تطال مراكز البيانات والمؤسسات الكبرى.
تسلط هذه الثغرات الضوء على التحديات المستمرة في تأمين واجهات إدارة الأنظمة الحساسة، خصوصاً مع اعتماد المؤسسات المتزايد على أدوات الإدارة عن بعد. ويؤكد الخبراء أن تشديد ضوابط المصادقة، وتقليل الاعتماد على واجهات مكشوفة، وتنفيذ اختبارات اختراق دورية باتت ضرورات لحماية البنى التحتية الرقمية.
