1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. Dell ECSとObjectScaleに重大な脆弱性(CVE-2026-40636 他)

Dell ECSとObjectScaleに重大な脆弱性(CVE-2026-40636 他)

セキュリティニュース

投稿日時: 更新日時:

Dell ECSとObjectScaleに重大な脆弱性(CVE-2026-40636 他)

Dellは2026年5月10日、Dell ECSおよびDell ObjectScaleに複数の脆弱性が存在するとして、セキュリティアドバイザリ DSA-2026-019 を公開しました。Dellは本アドバイザリの影響度をCriticalと評価しており、悪意あるユーザーに悪用された場合、影響を受けるシステムが侵害される可能性があると説明しています。

Dell ECSとObjectScaleは、企業で利用されるオブジェクトストレージ製品です。バックアップ、アーカイブ、非構造化データの保管、クラウドネイティブアプリケーションのデータ基盤などで使われることがあり、侵害された場合の影響は単一サーバーにとどまらない可能性があります。

【サマリー】

  • Dellは、Dell ECSおよびDell ObjectScaleに存在する複数の脆弱性に対するセキュリティアップデートを公開しました。
  • 重要度はCriticalで、影響を受けるシステムが侵害される可能性があると説明されています。
  • 特にCVE-2026-40636は、ハードコードされた認証情報の使用に起因する脆弱性です。
  • DellによるCVSS v3.1のベーススコアは9.8で、深刻度はCriticalです。
  • 影響を受けるのは、Dell ECS 3.8.1.0から3.8.1.7、およびDell ObjectScale 4.3.0.0未満です。
  • 修正済みバージョンはDell ECS、Dell ObjectScaleともに4.3.0.0以降です。

特に注意が必要なCVE-2026-40636

今回の公表で最も注意すべき脆弱性は、CVE-2026-40636です。Dellの説明によると、Dell ECS 3.8.1.0から3.8.1.7、およびDell ObjectScale 4.3.0.0未満には、ハードコードされた認証情報の使用に関する脆弱性があります。

この脆弱性は、ローカルアクセスを持つ認証されていない攻撃者によって悪用される可能性があり、悪用された場合、攻撃者がファイルシステムへアクセスできる恐れがあります。

Dellが示したCVSS v3.1のベーススコアは9.8で、ベクトルはCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hです。NVD上では、NIST評価とDell評価のベクトルに差異が見られますが、ベンダーであるDellはCriticalとして評価しています。

影響を受けるバージョン

影響を受ける製品とバージョンは、Dell公式アドバイザリで次のように示されています。

Dell ECSは、3.8.1.0から3.8.1.7が影響を受けます。Dell ObjectScaleは、4.3.0.0未満が影響を受けます。

修正済みバージョンは、Dell ECS、Dell ObjectScaleともに4.3.0.0以降です。Dellは、サポート対象のECSを利用している顧客に対し、最新のObjectScale 4.3.0.0へアップグレードするよう案内しています。

なお、Dell公式ページのURLにはDSA-2026-047という表記が含まれていますが、ページ本文のアドバイザリ名はDSA-2026-019となっています。記事では本文に記載されたDSA-2026-019を基準にしています。

他にも複数のDell固有コード脆弱性を修正

Dell公式アドバイザリでは、CVE-2026-40636以外にも、Dell固有コードに関する脆弱性が公表されています。

CVE-2026-26946は、OSにおける不適切な権限管理の脆弱性です。高い権限を持つローカル攻撃者が悪用した場合、権限昇格につながる可能性があります。CVSS v3.1のベーススコアは6.7です。

CVE-2026-35157は、UIにおけるCSVファイル内の数式要素の無害化不備に関する脆弱性です。リモートアクセスを持つ認証されていない攻撃者が、ユーザー操作を伴う形で悪用した場合、リモート実行につながる可能性があります。CVSS v3.1のベーススコアは5.8です。

CVE-2025-43992は、Geo replicationにおける認証バイパスの脆弱性です。リモートアクセスを持つ認証されていない攻撃者が悪用した場合、転送中データへの不正アクセスにつながる可能性があります。CVSS v3.1のベーススコアは5.6です。

修正方法と緩和策

Dellは、影響を受ける環境について、4.3.0.0以降へのアップグレードを修正策として示しています。ECSを利用している顧客に対しては、Operating Environment Upgrade のサービスリクエストを開き、DSA-2026-019を引用するよう案内しています。

CVE-2026-40636については、すぐにアップグレードできない環境向けの緩和策も提示されています。

Dellによると、サポート対象のECSまたはObjectScaleでデフォルト認証情報を使用している場合、Dell ObjectScale 4.3.0.0 Security Configuration GuideのDefault Node Users表にあるNOTEとして記載されたパスワード変更手順を適用することで、アップグレードを行わずに緩和できます。

ただし、緩和策はあくまで一時的なリスク低減策です。今回のアドバイザリでは複数の脆弱性が修正対象になっているため、CVE-2026-40636のパスワード変更だけで全体の修正が完了するわけではありません。恒久対応としては、Dellが案内する修正済みバージョンへのアップグレードを優先すべきです。

出典

Dell DSA-2026-019: Security update for Dell ECS and ObjectScale Multiple Vulnerabilities

GitHub Advisory Database CVE-2026-40636

関連記事

脅威アクター Menelik Dell(デル)が不正アクセスにより4900万人の個人情報漏洩の可能性 Dellへ不正アクセスと情報 漏洩疑惑 2024年9月に3回発生かDellへ不正アクセスと情報漏洩の疑惑 2024年9月に3回発生か FFRI AMCとOEM製品(NEC、Sky)で脆弱性|JVN#26734798FFRI AMCとOEM製品(NEC、Sky)で脆弱性|JVN#26734798 WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) dell-storage-manager-auth-bypass-cve-2025-43995Dell Storage Managerに深刻な認証回避の脆弱性(CVE-2025-43995)-未認証で管理APIに到達の恐れ Aliexpress(アリエクスプレス)の危険性Aliexpress(アリエクスプレス)の危険性 セキュリティ対策評価制度とは?概要と求められる事を解説セキュリティ対策評価制度(SCS評価)とは?概要と求められる事を解説 【2026年】サイバー攻撃・情報漏洩の最新 事例【2026年】サイバー攻撃・情報漏洩の最新 事例 中国系ハッカーがDellのゼロデイ脆弱性を悪用しサイバー攻撃(CVE-2026-22769)中国系ハッカーがDellのゼロデイ脆弱性を悪用しサイバー攻撃(CVE-2026-22769)