Vulnerabilities ›

CVE-2025-36589

High

Dell Unisphere for PowerMax XXE Vulnerability Enables Unauthorized Data Access

CWE-611 — Weakness Type

                    Published: Jan 6, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.6

🔗 NVD Official

📄 Description (English)

Dell Unisphere for PowerMax, version(s) 9.2.4.x, contain(s) an Improper Restriction of XML External Entity Reference vulnerability. A low privileged attacker with remote access could potentially exploit this vulnerability, leading to unauthorized access to data and resources outside of the intended sphere of control.

🤖 AI Executive Summary

Dell Unisphere for PowerMax version 9.2.4.x contains an XML External Entity (XXE) vulnerability (CVE-2025-36589) with CVSS 7.6. A low-privileged remote attacker can exploit this flaw to access sensitive data and resources beyond intended boundaries, potentially compromising storage management systems.

📄 Description (Arabic)

تسمح ثغرة الكيانات الخارجية XML في Dell Unisphere for PowerMax للمهاجمين بحقن كيانات XML خارجية ضارة في طلبات XML المعالجة من قبل النظام. يمكن استغلال هذه الثغرة لقراءة الملفات الحساسة من الخادم، أو تنفيذ هجمات رفض الخدمة، أو الوصول إلى موارد الشبكة الداخلية. تؤثر الثغرة على أنظمة إدارة التخزين الحرجة التي تدير بيانات المؤسسات الحساسة. نظراً لأن Dell Unisphere يُستخدم لإدارة أنظمة التخزين المؤسسية، فإن الاستغلال الناجح قد يؤدي إلى تسريب معلومات التكوين والبيانات الحساسة المخزنة.

🤖 ملخص تنفيذي (AI)

يحتوي Dell Unisphere for PowerMax الإصدار 9.2.4.x على ثغرة الكيانات الخارجية XML (XXE) برقم CVE-2025-36589 بدرجة خطورة 7.6. يمكن لمهاجم عن بُعد بصلاحيات منخفضة استغلال هذه الثغرة للوصول إلى البيانات والموارد الحساسة خارج الحدود المقصودة، مما قد يعرض أنظمة إدارة التخزين للخطر.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 07:39

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations using Dell PowerMax storage systems for critical data management face significant risk of unauthorized data exposure and potential compliance violations under PDPL. Financial institutions, healthcare providers, and government entities relying on these systems must prioritize immediate assessment and mitigation to protect sensitive customer and operational data.

🏢 Affected Saudi Sectors

القطاع المالي والمصرفي القطاع الحكومي قطاع الرعاية الصحية قطاع الاتصالات وتقنية المعلومات قطاع الطاقة والمرافق

🎯 MITRE ATT&CK Techniques

T1190 T1212 T1005 T1083 T1071

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately identify all Dell Unisphere for PowerMax version 9.2.4.x deployments in your environment and isolate affected systems from untrusted networks until patches become available

2. Implement strict XML input validation and disable XML external entity processing in application configurations; restrict network access to Unisphere management interfaces using firewall rules and VPN-only access

3. Monitor system logs for suspicious XML parsing activities and unauthorized file access attempts; establish incident response procedures and coordinate with Dell support for security updates and migration planning to patched versions

🔧 خطوات المعالجة (العربية)

1. تحديد جميع أنظمة Dell Unisphere for PowerMax الإصدار 9.2.4.x في بيئتك فوراً وعزل الأنظمة المتأثرة عن الشبكات غير الموثوقة حتى توفر التحديثات الأمنية

2. تطبيق التحقق الصارم من مدخلات XML وتعطيل معالجة الكيانات الخارجية XML في إعدادات التطبيق؛ تقييد الوصول الشبكي لواجهات إدارة Unisphere باستخدام قواعد الجدار الناري والوصول عبر VPN فقط

3. مراقبة سجلات النظام للكشف عن أنشطة تحليل XML المشبوهة ومحاولات الوصول غير المصرح للملفات؛ إنشاء إجراءات الاستجابة للحوادث والتنسيق مع دعم Dell للحصول على التحديثات الأمنية والتخطيط للترحيل إلى الإصدارات المحدثة

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 ECC-2-1 ECC-3-1 ECC-4-1 ECC-5-2

🔵 SAMA CSF

CCC-1.1 CCC-2.2 CCC-4.3 CCC-5.1 TRM-1.2

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1 A.18.2.3 A.12.2.1

🔗 References & Sources 1

🔗

https://www.dell.com/support/kbdoc/en-us/000402262/dsa-2025-425-dell-powermaxos-dell-po...

security_alert@emc.com

Vendor Advisory

📦 Affected Products / CPE 2 entries

dell:unisphere_for_powermax:9.2.4.18

dell:unisphere_for_powermax_virtual_appliance

📊 CVSS Score

7.6

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity High

CVSS Score7.6

CWECWE-611

EPSS0.07%

Exploit No

Patch ✓ Yes

Published 2026-01-06

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-611

🏢 Vendor Advisories

🔗 https://www.dell.com/support/kbdoc/en-us/000402262/d...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-36589

Introduce Yourself

Sign In Required