戴尔科技近日发布关键安全更新，修复其Unity企业存储系统中存在的多个高危漏洞。攻击者利用这些漏洞可在无需认证的情况下以root权限执行任意命令、删除关键系统文件以及实施其他恶意操作。

安全研究人员共发现16个不同漏洞，影响运行5.4及更早版本的Dell Unity、Dell UnityVSA和Dell Unity XT系统，其中最严重的漏洞CVSS评分高达9.8分。

戴尔Unity关键漏洞详情

CVE-2025-22398：远程root命令执行漏洞

CVE-2025-22398（CVSS 9.8）允许攻击者通过未经认证的远程命令执行完全控制系统。攻击者可构造恶意网络请求发送至Unity API，注入具有完全管理员权限的操作系统命令。

该漏洞使企业面临勒索软件部署、数据窃取和持久性后门植入等风险。戴尔安全公告明确指出，利用此漏洞"可能导致攻击者完全控制系统"，其接近满分的CVSS评分反映了该漏洞具备网络可访问性、低攻击复杂度以及对机密性/完整性/可用性的全面破坏。

CVE-2025-24383：特权文件删除漏洞

CVE-2025-24383（CVSS 9.1）同样危险，允许攻击者以root权限远程删除任意文件，造成文件系统破坏。攻击者可擦除关键系统二进制文件、配置文件或数据存储，可能导致存储操作瘫痪或为后续攻击创造条件。

虽然由于对机密性影响较小（NONE对比HIGH）使其评分略低，但该漏洞与CVE-2025-22398具有相同的攻击向量和权限提升严重性。

其他安全缺陷

安全公告还详细说明了CVE-2025-24381，这是一个评分为8.8的开放重定向漏洞，可能通过恶意重定向实现钓鱼攻击和会话窃取。

此外，多个本地权限提升漏洞（CVE-2024-49563、CVE-2024-49564、CVE-2024-49565、CVE-2024-49566、CVE-2025-23383、CVE-2025-24377、CVE-2025-24378、CVE-2025-24379、CVE-2025-24380、CVE-2025-24385、CVE-2025-24386）进一步增加了风险，这些漏洞CVSS评分均为7.8，允许低权限本地用户以root权限执行命令。

还有两个命令注入漏洞（CVE-2024-49601和CVE-2025-24382）CVSS评分为7.3，允许未经认证的远程攻击者执行影响程度较低的命令。

戴尔对负责任披露这些漏洞的安全研究人员表示感谢："prowser"发现了关键的远程命令注入漏洞，而来自Ubisectech Sirius Team的"zzcentury"和"xiaohei"则识别出了本地权限提升漏洞。

受影响产品及修复方案

这些漏洞影响戴尔多款主流企业存储系统，包括运行5.4及更早版本的Unity、UnityVSA和Unity XT。戴尔已发布Dell Unity Operating Environment (OE) Version 5.5.0.0.5.259作为修复方案，强烈建议所有客户立即升级。

使用受影响戴尔Unity系统的企业应评估其风险敞口，实施推荐更新，并在这些关键漏洞未修复期间监控可能的攻击迹象。

参考来源：

Multiple Dell Unity Vulnerabilities Let Attackers Compromise Affected System