企業級儲存系統的安全性至關重要，因其承載著組織最關鍵的數據。近期，一個針對 Dell UnityVSA 虛擬儲存設備的嚴重漏洞被揭露，引起了業界的高度關注，這個缺陷讓未經授權的外部人士有機可乘，可能導致嚴重的數據洩露或系統控制權的喪失。

WatchTowr 的網路安全研究人員發布了他們的分析報告，揭示了 Dell UnityVSA 中的一個漏洞，編號為CVE-2025-36604。該漏洞允許未經身份驗證的攻擊者透過利用登入重新導向邏輯中的缺陷，向裝置發出命令。 UnityVSA 是戴爾 Unity 儲存系統的軟體版本，它不是在專用硬體上運行，而是在 VMware ESXi 等虛擬機器管理程式上的虛擬機器內運行。此漏洞源自於 UnityVSA 處理登入重定向 URI 的方式，攻擊者可以在該 URI 中嵌入 Shell 元字符，並在裝置上執行任意命令。 WatchTowr 的分析表明，5.5.1 之前的多個版本都存在漏洞，戴爾在其內部安全公告中將此問題嚴重程度評定為「高」（CVSS 7.3）。同時，NVD 清單指出，根據另一種評估方法，該漏洞可能升級到「嚴重」（CVSS 9.8）。

技術細節顯示，攻擊者利用了系統在處理缺乏身份驗證 Cookie 請求時，將未經淨化的原始 URI 帶入到命令執行字串中的缺陷。特別是當登入重定向 URI 被惡意構造並包含 Shell 元字符時，系統會透過 Perl 的反引號運算符執行任意指令。一旦攻擊得逞，駭客即可變更系統配置、存取或銷毀儲存的關鍵數據，甚至取得系統的完全控制權。 戴爾官方已發布安全公告 DSA-2025-281，建議所有運行受影響版本（5.5及更早版本）的用戶，應立即升級至 5.5.1 或更新版本以修補此漏洞，同時也修復了包括 CVE-2025-36605 在內的其他相關漏洞。為確保修補工作的有效性，WatchTowr 亦釋出了檢測工具，協助資安團隊驗證其環境是否仍暴露於風險之中，並建議組織應持續監控日誌中是否存在可疑的重新導向請求或異常的 Shell 執行行為。