← AI War Room
Cybersécurité

CVE-2025-43994 : Une faille critique de contrôle d’authentification dans Dell Storage Manager

Tech4B2B · · 5 min (mis à jour le )
  • Sujet: CVE-2025-43994 : Une faille critique de contrôle d’authentification dans Dell Storage Manager
  • Date:
En octobre 2025, une vulnérabilité de type « Missing Authentication for Critical Function » (manque de contrôle d’authentification pour fonction critique) a été découverte dans Dell Storage Manager (DSM) version 20.1.21, logiciel clé pour la gestion des infrastructures de stockag

Cette faille, référencée CVE-2025-43994, permet à un attaquant distant non authentifié d’accéder à des fonctions critiques du logiciel sans fournir de credentials ni aucun type d’authentification. L’impact est sérieux : un acteur malveillant pouvant joindre le réseau est capable de récupérer ou modifier des données sensibles, voire perturber le fonctionnement des systèmes de stockage.​


Détails techniques et implications

Dell Storage Manager, utilisé mondialement dans de nombreux datacenters, gère les ressources de stockage de masse essentielles pour les entreprises, notamment dans les secteurs bancaire, industriel et public. La version 20.1.21 du DSM est affectée par ce défaut, qui résulte d’un contrôle d’accès insuffisant sur des interfaces critiques exposées via le réseau.​

La complexité d’attaque est faible, aucune interaction utilisateur ni privilège préalable n’est nécessaire pour exploiter la faille. Cela la rend particulièrement dangereuse et facilement exploitable. Si un attaquant intercepte le réseau local ou réussit à pénétrer le réseau de l’entreprise, il peut utiliser cette vulnérabilité pour compromettre intégralement l’infrastructure de stockage.

Le score CVSS v3.1 de 8.6 reflète cette gravité élevée, avec des conséquences possibles allant de la divulgation d’informations stratégiques à la modification non autorisée des configurations, impactant la disponibilité, la confidentialité et l’intégrité.​


Vulnérabilités connexes et contexte

Cette faille est accompagnée d’autres vulnérabilités dans le même produit, comme CVE-2025-43995, un problème d’authentification inappropriée dans un composant DataCollectorEar, et CVE-2025-46425, une faille permettant la lecture non autorisée de fichiers sensibles par une mauvaise restriction XML.​

Le cumul de ces vulnérabilités expose les entreprises à un risque de compromission sévère, pouvant affecter des serveurs critiques et la gestion des ressources de stockage.


Actions correctives et recommandations

Dell a rapidement publié un correctif (version DSM 2020 R1.22) corrigeant ces failles. Il est impératif pour les administrateurs de systèmes d’appliquer ce patch sans délai. Aucune mesure de contournement ne permet actuellement de sécuriser l’application sans mise à jour.​

La communauté cybersécurité recommande également de renforcer la segmentation réseau, le contrôle d’accès aux interfaces de gestion, et de surveiller activement les logs pour détecter toute activité suspecte liée aux vulnérabilités identifiées.​


Conclusion

La découverte de CVE-2025-43994 souligne la criticité des failles liées à l’authentification dans des systèmes sensibles comme Dell Storage Manager, essentiels pour la résilience des infrastructures IT. Facilement exploitable et à fort impact potentiel, cette vulnérabilité appelle à une vigilance accrue et à une réactivité immédiate des équipes en charge de la sécurité.

Ce cas illustre aussi les défis permanents de la sécurité logicielle face à des architectures complexes et larges, en particulier pour des solutions déployées globalement dans des environnements critiques.

Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.