概述
CVE-2025-46427是Dell SmartFabric OS10软件中存在的一个命令注入漏洞,CVSS 3.1评分为8.8分,属于高危漏洞。
漏洞描述
Dell SmartFabric OS10软件10.6.1.0之前版本存在"命令中使用的特殊元素不当中和"漏洞(命令注入)。拥有远程访问权限的低权限攻击者可能利用此漏洞执行命令。
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Dell | smartfabric_os10 |
受影响厂商总数:1 | 产品数:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 3.1 | 高危 | - | 2.8 | 5.9 | security_alert@emc.com |
解决方案
- 将Dell SmartFabric OS10软件更新至10.6.1.0或更高版本
- 立即应用厂商提供的安全补丁
- 仅限授权人员远程访问
参考链接
CWE关联
CWE-77:命令中使用的特殊元素不当中和(命令注入)
CAPEC攻击模式
- CAPEC-15:命令分隔符
- CAPEC-40:操纵可写终端设备
- CAPEC-43:利用多个输入解释层
- CAPEC-75:操纵可写配置文件
- CAPEC-76:操纵Web输入到文件系统调用
- CAPEC-136:LDAP注入
- CAPEC-183:IMAP/SMTP命令注入
- CAPEC-248:命令注入
漏洞时间线
- 发布日期:2025年11月12日 20:15
- 最后修改:2025年11月12日 20:15
- 远程利用:是
- 来源:security_alert@emc.com