简介 

    戴尔科技发布紧急安全公告，披露其Storage Center和Storage Manager（DSM）软件中存在多个高危漏洞，远程攻击者可利用CVE-2025-43995等漏洞实现未授权API绕过，CVSS评分高达9.8分。攻击者可能通过构造恶意请求直接访问管理接口，无需有效凭证即可执行敏感操作，对企业数据存储基础设施构成严重威胁。

核心详情 

    该漏洞存在于戴尔Storage Manager产品的API身份验证模块中，由于权限验证机制存在缺陷，攻击者能够绕过正常的认证流程直接调用管理接口。根据戴尔官方安全公告，该漏洞影响Storage Manager版本2023.R1.0至2024.R1.3，攻击者可利用此漏洞获取存储系统的完全控制权，包括创建、修改或删除存储卷，访问敏感业务数据等。技术分析显示，漏洞源于API端点未能正确验证会话令牌的有效性，使得攻击者可以通过发送特制HTTP请求实现未授权访问。戴尔已发布相应补丁，建议用户立即升级至2024.R1.4或更高版本。

适用范围  

    本内容适用于使用戴尔Storage Center和Storage Manager软件的企业IT管理员、网络安全团队及存储系统运维人员。特别针对金融、医疗、政府等对数据安全性要求较高的行业，以及任何部署了戴尔存储解决方案且尚未安装最新安全更新的组织环境。

推荐措施 

    1、立即检查当前使用的戴尔Storage Manager版本，若处于受影响范围，请尽快升级至2024.R1.4或更高版本；

    2、建议在网络层面限制对Storage Manager管理接口的访问，仅允许授权IP地址连接，并定期审计API调用日志以检测异常活动。