Dell закрыла четыре уязвимости в Wyse Management Suite

Dell выпустила обновление безопасности для Wyse Management Suite (WMS) — платформы централизованного управления тонкими клиентами и конечными устройствами. Вендор сообщил, что в версиях до 5.5 исправили четыре уязвимости, которые в разных сценариях могут привести к повышению привилегий, удалённому выполнению кода, внедрению скриптов и обходу защитных механизмов. Исправление доступно в WMS 5.5 и более новых версиях, дата выпуска remediation — 23 февраля 2026 года.

Согласно официальному advisory Dell речь идёт именно о пакете из четырёх CVE. Самая высокая оценка по CVSS у проблемы CVE-2026-22765 — 8,8 балла, это уязвимость класса Missing Authorization. Отдельная уязвимость CVE-2026-22766 действительно может привести к Remote Execution — удалённому выполнению кода, но по описанию Dell она требует высоких привилегий у атакующего.

В advisory DSA-2026-103 Dell перечисляет четыре проблемы в Wyse Management Suite до версии 5.5.

CVE-2026-22765 — Missing Authorization. Это уязвимость типа «отсутствие корректной авторизации». Проще говоря, система не делает нужную проверку прав доступа при обращении к ресурсу или действию. Dell пишет, что удалённый атакующий с низкими привилегиями может использовать её для Elevation of Privileges, то есть повышения привилегий. Базовая оценка CVSS — 8,8.

CVE-2026-22766 — Unrestricted Upload of File with Dangerous Type. Это неограниченная загрузка опасного типа файла. Говоря проще, система позволяет загрузить файл, который не должен был приниматься, а затем такой файл может быть использован во вредоносном сценарии. По описанию Dell и NVD, удалённый атакующий с высокими привилегиями может добиться Remote execution — удалённого выполнения кода. CVSS — 7,2. CWE для этой уязвимости — CWE-434.

CVE-2026-23858 — Cross-site Scripting. Это межсайтовый скриптинг (XSS), официально — Improper Neutralization of Input During Web Page Generation. Иначе говоря, приложение недостаточно хорошо очищает или экранирует данные перед выводом на страницу. Dell пишет, что удалённый атакующий с низкими привилегиями может использовать эту проблему для Script Injection — внедрения скрипта. CVSS — 5,4. CWE — CWE-79.

CVE-2026-23859 — Client-Side Enforcement of Server-Side Security. Это менее очевидный, но всё равно неприятный класс ошибок: сервер слишком сильно полагается на клиентскую сторону при обеспечении защиты. Dell описывает это как Client-Side Enforcement of Server-Side Security. На практике это означает, что часть контроля, который должен делаться на сервере, неправильно вынесена на клиент. В результате удалённый атакующий с высокими привилегиями может добиться Protection mechanism bypass — обхода механизма защиты. CVSS — 2,7, то есть формально это самая низкооценённая проблема в наборе, но игнорировать её всё равно не стоит.

Dell указывает, что уязвимы все версии Wyse Management Suite ниже 5.5, а исправления доступны в версии 5.5 и более новых. В advisory эта версия названа remediated version, а на странице драйвера Dell отдельно указано, что это именно пакет Dell Wyse Management Suite version 5.5.

Так как платформа предназначена для централизованного управления тонкими клиентами и конечными устройствами, потенциальная атака идёт по всей системе администрирования, у которой по определению много связей внутри инфраструктуры.

Уязвимость CVE-2026-22765 допускает повышение привилегий при наличии только низких прав у удалённого пользователя — такие баги часто становятся ступенью внутри цепочки атаки.

Уязвимость CVE-2026-22766 связана с опасной загрузкой файлов и может привести к удалённому выполнению кода, хотя и требует высоких привилегий.

На момент проверки Dell в advisory не сообщает, что эти уязвимости уже эксплуатируются в реальных атаках. Также нет подтверждения, что эти проблемы добавлены в CISA Known Exploited Vulnerabilities Catalog.