概述
CVE-2025-46608是Dell Data Lakehouse中的一个权限提升漏洞,CVSS 3.1评分为9.1分,属于严重级别。
漏洞描述
Dell Data Lakehouse 1.6.0.0之前版本存在不当访问控制漏洞。具有远程访问权限的高权限攻击者可能利用此漏洞实现权限提升。该漏洞被认为是严重漏洞,因为它可能导致未经授权的高权限访问,损害系统完整性和客户数据。戴尔建议客户尽快升级到最新版本。
漏洞时间线
- 发布日期:2025年11月12日 21:15
- 最后修改:2025年11月12日 21:15
- 远程利用:是
- 来源:security_alert@emc.com
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Dell | data_lakehouse |
受影响厂商总数:1 | 产品总数:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.1 | CVSS 3.1 | 严重 | 2.3 | 6.0 | security_alert@emc.com | |
| 9.1 | CVSS 3.1 | 严重 | c550e75a-17ff-4988-97f0-544cde3820fe |
解决方案
- 升级到1.6.0.0或更高版本
- 应用厂商提供的安全补丁
参考信息
CWE关联
CWE-284: 不当访问控制
CAPEC攻击模式
- CAPEC-19: 脚本中嵌入脚本
- CAPEC-441: 恶意逻辑插入
- CAPEC-478: 修改Windows服务配置
- CAPEC-479: 恶意根证书
- CAPEC-502: 意图欺骗
- CAPEC-503: WebView暴露
- CAPEC-536: 配置期间数据注入
- CAPEC-546: 多租户环境中不完整的数据删除
- CAPEC-550: 安装新服务
- CAPEC-551: 修改现有服务
- CAPEC-552: 安装Rootkit
- CAPEC-556: 替换文件扩展名处理程序
- CAPEC-558: 替换可信可执行文件
- CAPEC-562: 修改共享文件
- CAPEC-563: 向共享Web根目录添加恶意文件
- CAPEC-564: 登录时运行软件
- CAPEC-578: 禁用安全软件
漏洞历史
2025年11月12日 - security_alert@emc.com收到新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Dell Data Lakehouse, versions prior to 1.6.0.0, contain(s) an Improper Access Control vulnerability… | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | |
| 添加 | CWE | CWE-284 | |
| 添加 | 参考 | https://www.dell.com/support/kbdoc/en-us/000390529/dsa-2025-375-security-update-for-dell-data-lakehouse-multiple-vulnerabilities |
CVSS 3.1评分详情
基础CVSS分数:9.1
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:高
- 用户交互:无
- 范围:已更改
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高