概述
CVE-2025-46608是Dell Data Lakehouse中的一个权限提升漏洞,CVSS 3.1评分为9.1分,属于严重级别。
漏洞描述
Dell Data Lakehouse 1.6.0.0之前版本存在不当访问控制漏洞。具有远程访问权限的高权限攻击者可能利用此漏洞实现权限提升。该漏洞被认为是严重级别,因为它可能导致未经授权的高权限访问,危及系统完整性和客户数据。戴尔建议客户尽快升级到最新版本。
漏洞时间线
- 发布日期:2025年11月12日 21:15
- 最后修改:2025年11月12日 21:15
- 远程利用:是
- 来源:security_alert@emc.com
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.1 | CVSS 3.1 | 严重 | - | 2.3 | 6.0 | security_alert@emc.com |
解决方案
- 升级到1.6.0.0或更高版本
- 应用供应商提供的安全补丁
相关参考
CWE关联
- CWE-284:不当访问控制
CAPEC攻击模式
该漏洞关联以下攻击模式:
- CAPEC-19:脚本中嵌入脚本
- CAPEC-441:恶意逻辑插入
- CAPEC-478:Windows服务配置修改
- CAPEC-479:恶意根证书
- CAPEC-502:意图欺骗
- CAPEC-503:WebView暴露
- CAPEC-536:配置期间数据注入
- CAPEC-546:多租户环境中不完整数据删除
- CAPEC-550:安装新服务
- CAPEC-551:修改现有服务
- CAPEC-552:安装Rootkit
- CAPEC-556:替换文件扩展处理程序
- CAPEC-558:替换可信执行文件
- CAPEC-562:修改共享文件
- CAPEC-563:向共享Web根目录添加恶意文件
- CAPEC-564:登录时运行软件
- CAPEC-578:禁用安全软件
漏洞历史记录
2025年11月12日 - security_alert@emc.com收到新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | Dell Data Lakehouse漏洞描述 |
| 添加 | CVSS V3.1 | - | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
| 添加 | CWE | - | CWE-284 |
| 添加 | 参考 | - | 戴尔安全公告链接 |