Dell ECS 硬编码凭证漏洞 CVE-2026-40636 影响 CVSS 9.8

执行摘要

Dell 披露了其 ECS 和 ObjectScale 企业存储平台中的两个漏洞，其中一个 —— CVE-2026-40636 —— 由于使用了硬编码凭证，CVSS 基础得分为 9.8（严重）。未经身份验证的攻击者如果具有本地访问权限，可以利用这个漏洞在受影响的系统上获得文件系统访问权限。第二个漏洞，CVE-2026-35157（CVSS 5.8），允许通过 Web UI 中的 CSV 注入执行远程代码。这两个漏洞影响 Dell ECS 版本 3.8.1.0 至 3.8.1.7 和 Dell ObjectScale 版本 4.3.0.0 之前的版本。Dell 在 2026-05-08 发布了安全更新，公告编号为 DSA-2026-047。

技术分析

根据 Dell 的安全公告（DSA-2026-047），CVE-2026-40636 源于 Dell ECS 和 ObjectScale 软件中嵌入的硬编码凭证。国家漏洞数据库（NVD）在 CVSS v3.1 量表上将该漏洞评为 9.8 分，表明这是无需特权且无需用户交互即可通过网络利用的漏洞的最高严重级别。然而，Dell 的公告指出，利用该漏洞需要本地访问权限，这在一定程度上限制了攻击面 —— 攻击者必须已经在系统上或相邻网络上拥有立足点，才能利用硬编码凭证。一旦被利用，该漏洞将授予未经授权的文件系统访问权限，可能会暴露存储的对象数据或配置文件。

第二个漏洞，CVE-2026-35157，被描述为 CSV 文件中公式元素的不当中和 —— 通常称为 CSV 注入。这个漏洞存在于两个平台的基于 Web 的用户界面中。未经身份验证的远程攻击者可以制作一个恶意的 CSV 导出文件，当在电子表格应用程序（如 Microsoft Excel 或 LibreOffice Calc）中打开时，执行任意公式。尽管 NVD 给出的 CVSS 得分为 5.8（中等），但 Dell 的公告明确指出这可能导致远程代码执行。这种差异可能反映了对攻击链的不同假设：NVD 得分可能将 CSV 注入视为数据完整性问题，而 Dell 的评估考虑了受害者打开精心制作的文件时的下游影响。

这两个漏洞都是通过 Dell 的协调披露流程报告给 Dell 的。公告没有透露发现这些漏洞的研究人员的名字，也没有提供概念验证代码或利用时间表。Dell 在 2026 年 5 月 8 日发布的安全公告是技术细节的主要来源。

缓解措施与建议

Dell 已经发布了两个受影响产品线的修复版本。对于 Dell ECS，管理员应该升级到 3.8.1.8 或更高版本。对于 Dell ObjectScale，修复包含在 4.3.0.0 版本及后续版本中。Dell 建议立即应用这些更新，特别是对于暴露给不受信任的本地用户或可以从更广泛的网络段访问的系统。

对于 CVE-2026-35157 特别地，组织还应该考虑对来自受信任的行政接口的 CSV 文件处理进行用户意识培训。在应用补丁之前，通过防火墙规则或 VPN 要求限制对 ECS 和 ObjectScale Web UI 的远程访问，可以降低被利用的可能性。鉴于 CVE-2026-40636 的 CVSS 得分为 9.8，任何允许本地用户账户或共享基础设施访问的部署都应该将补丁作为关键变更窗口的优先事项。