„`html
Zusammenfassung
Dell PowerFlex Manager in den Versionen 4.6.2 und älter weist eine kritische Schwachstelle bei der Directory-Listing-Exponierung auf. Diese ermöglicht es unauthentifizierten Angreifern mit Netzwerkzugriff, sensitive Verzeichnisinhalte auszulesen und Informationen über die Systemstruktur zu erlangen. Die Lücke hat einen CVSS-Score von 7.5 und wird als „High“ eingestuft.
Betroffene Systeme
Produkt: Dell PowerFlex Manager
Versionen: 4.6.2 und älter
CVE-ID: CVE-2025-32750
Das Update auf Version 4.6.3 oder höher wird empfohlen, sofern verfügbar. Derzeit ist kein offizieller Patch verfügbar.
Technische Details
Die Schwachstelle ermöglicht Directory-Listing auf Webserver-Ebene. Unauthentifizierte Angreifer können durch HTTP-Anfragen an anfällige Verzeichnispfade des PowerFlex Manager eine Verzeichnisauflistung auslösen. Dies offenbart:
- Dateistrukturen und Verzeichnisnamen
- Systemkonfigurationsdateien
- Versionsinformationen und Metadaten
- Potenzielle Schwachstellen in der Systemarchitektur
Die fehlende Authentifizierung ermöglicht Reconnaissance-Aktivitäten ohne Anmeldedaten. Daraus resultiert eine erhöhte Angriffsflächenexposition.
Empfohlene Massnahmen
Sofortmassnahmen:
- Aktualisierung auf PowerFlex Manager 4.6.3 oder höher durchführen (sobald verfügbar)
- Netzwerkzugriff auf PowerFlex Manager-Instanzen einschränken
- Web Application Firewall (WAF) implementieren und Directory-Listing blockieren
Workarounds:
- Webserver-Konfiguration anpassen: Directory-Listing deaktivieren (Options -Indexes)
- HTTP-Header zur Verhinderung von Directory-Enumeration konfigurieren
- IP-Whitelisting für Manager-Zugriff implementieren
Monitoring: HTTP-Anfragen auf verdächtige Directory-Auflistungsmuster überwachen.
Bewertung
Mit CVSS 7.5 besteht eine hohe Priorität für die Behebung. Da kein Patch verfügbar ist, müssen Administratoren sofort Mitigationen implementieren. Die fehlende Authentifizierungsanforderung erhöht das Risiko erheblich.
„`