検出

Dell ControlVault3 ドライバーの脆弱性DSA-2025-053

high Nessus プラグイン ID 245964

Language:

概要

Dell ControlVault3 cvusbdrv.sys ドライバーは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Dell ControlVault3 cvusbdrv.sys ドライバーのバージョンは 5.x 、 [ ] より前の 5.15.10.14、または 6.x6.2.26.36] より前の です。したがって、ベンダーアドバイザリに記載されているとおり、複数の脆弱性の影響を受けます

 - 5.15.10.14 より前の Dell ControlVault3 および 6.2.26.36より前の Dell ControlVault 3 Plus の cv_upgrade_sensor_firmware 機能に、領域外書き込みの脆弱性が存在します。特別に細工されたControlVault API呼び出しにより、領域外書き込みが発生する可能性があります。攻撃者が API 呼び出しを発行してこの脆弱性を誘発できます。CVE-2025-25050
- 5.15.10.14 より前の Dell ControlVault3 および 6.2.26.36より前の ControlVault3 Plus の cvhDecapsulateCmd 機能に、信頼できない入力の逆シリアル化の脆弱性が存在します。コマンドに対する特別に細工された ControlVault 応答が、任意のコードの実行を引き起こす可能性があります。攻撃者がControlVaultファームウェアを侵害し、悪意のある応答を作成させてこの脆弱性をトリガーする可能性があります。CVE-2025-24919
- 5.15.10.14 より前の Dell ControlVault3 および 6.2.26.36より前の Dell ControlVault3 Plus の securebio_identify 機能に、スタックベースのバッファオーバーフローの脆弱性が存在します。特別に細工された悪意のある cv_object によって、任意のコードが実行される可能性があります。攻撃者が API 呼び出しを発行してこの脆弱性を誘発できます。CVE-2025-24922Nessus はこの問題をテストしていませんが、その代わりに、アプリケーションの自己報告されたバージョン番号のみに依存していたことに、注意してください。

ソリューション

Dell ControlVault3 ドライバーとファームウェアをバージョン 5.15.10.14 / 6.2.26.36 以降にアップグレードしてください。

参考資料

https://www.dell.com/support/kbdoc/en-us/000276106/dsa-2025-053?lwp=rt

プラグインの詳細

深刻度: High

ID: 245964

ファイル名: dell_controlvault3_driver_DSA-2025-053.nasl

バージョン: 1.1

タイプ: local

エージェント: windows

ファミリー: Misc.

公開日: 2025/8/8

更新日: 2025/8/8

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.2

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-25050

CVSS v3

リスクファクター: High

基本値: 8.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

脆弱性情報

CPE: x-cpe:/a:dell:controlvault3_driver

必要な KB アイテム: WMI/SystemDrivers/Enumerated, BIOS/Manufacturer, BIOS/Model

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/8/8

脆弱性公開日: 2025/8/8

参照情報

CVE: CVE-2025-24311, CVE-2025-24919, CVE-2025-24922, CVE-2025-25050, CVE-2025-25215