概述
CVE-2025-43994 - Dell Storage Center - Dell Storage Manager 关键功能身份验证缺失漏洞
漏洞描述
Dell Storage Center - Dell Storage Manager 版本 DSM 20.1.21 存在关键功能身份验证缺失漏洞。具有远程访问权限的未经身份验证攻击者可能利用此漏洞,导致信息泄露。
漏洞详情
- 发布时间: 2025年10月24日 15:15
- 最后修改: 2025年10月24日 15:15
- 远程利用: 是
- 信息来源: security_alert@emc.com
受影响产品
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Dell | dell_storage_manager |
总计受影响供应商: 1 | 产品: 1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.6 | CVSS 3.1 | 高 | c550e75a-17ff-4988-97f0-544cde3820fe | |||
| 8.6 | CVSS 3.1 | 高 | 3.9 | 4.7 | security_alert@emc.com |
解决方案
- 将Dell Storage Manager更新到解决身份验证缺失漏洞的版本
- 立即应用供应商提供的安全补丁
- 限制对关键功能的远程访问
- 彻底检查身份验证配置
参考链接
CWE关联
CWE-306: 关键功能身份验证缺失
CAPEC攻击模式
- CAPEC-12: 选择消息标识符
- CAPEC-36: 使用未发布的接口或功能
- CAPEC-62: 跨站请求伪造
- CAPEC-166: 强制系统重置值
- CAPEC-216: 通信通道操纵
漏洞时间线
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | Dell Storage Center - Dell Storage Manager, version(s) DSM 20.1.21, contain(s) a Missing Authentication for Critical Function vulnerability. An unauthenticated attacker with remote access could potentially exploit this vulnerability, leading to Information disclosure. | |
| 新增 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H | |
| 新增 | CWE | CWE-306 | |
| 新增 | 参考 | https://www.dell.com/support/kbdoc/en-us/000382899/dsa-2025-393-security-update-for-storage-center-dell-storage-manager-vulnerabilities |