検出

ControlVault3 ドライバー 5.15.14.19 / 6.2.36.47 複数の脆弱性DSA-2025-228]

high Nessus プラグイン ID 275888

Language:

概要

リモートホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートホストにインストールされている ControlVault3 ドライバーのバージョンは、 5.15.14.19 または 6.2.36.47より前です。したがって、DSA-2025-228 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - 5.15.14.19 より前の Dell ControlVault3 および 6.2.36.47より前の Dell ControlVault3 Plus の ControlVault WBDI ドライバー Broadcom Storage Adapter 機能に、複数の領域外読み取りおよび書き込みの脆弱性が存在します。特別に細工された WinBioControlUnit の呼び出しにより、メモリ破損が引き起こされる可能性があります。攻撃者が api 呼び出しを発行してこの脆弱性を誘発できます。この脆弱性は、不適切な「ReceiveBuferSize」値を含む ControlCode 2「WBIO_USH_GET_IDENTITY」で「WinBioControlUnit」呼び出しを StorageAdapter に送信するときに発生します。CVE-2025-36460

 - 5.15.14.19 より前の Dell ControlVault3 および 6.2.36.47より前の Dell ControlVault3 Plus の ControlVault WBDI ドライバー Broadcom Storage Adapter 機能に、複数の領域外読み取りおよび書き込みの脆弱性が存在します。特別に細工された WinBioControlUnit の呼び出しにより、メモリ破損が引き起こされる可能性があります。攻撃者が api 呼び出しを発行してこの脆弱性を誘発できます。この脆弱性は、無効な「ReceiveBuferSize」を含む ControlCode 3「WBIO_USH_CREATE_CHALLENGE」で「WinBioControlUnit」呼び出しを StorageAdapter に送信するときに発生します。CVE-2025-36462

 - 5.15.14.19 より前の Dell ControlVault3 および 6.2.36.47より前の Dell ControlVault3 Plus の ControlVault WBDI ドライバー Broadcom Storage Adapter 機能に、複数の領域外読み取りおよび書き込みの脆弱性が存在します。特別に細工された WinBioControlUnit の呼び出しにより、メモリ破損が引き起こされる可能性があります。攻撃者が api 呼び出しを発行してこの脆弱性を誘発できます。この脆弱性は、ControlCode 4「WBIO_USH_ADD_RECORD」および無効な「SendBufferSize」で「WinBioControlUnit」呼び出しを StorageAdapter に送信するときに発生します。CVE-2025-36463

 - 5.15.14.19 より前の Dell ControlVault3 および 6.2.36.47より前の Dell ControlVault3 Plus の ControlVault WBDI ドライバー WBIO_USH_ADD_RECORD 機能に権限昇格の脆弱性が存在します。特別に細工された WinBioControlUnit 呼び出しが権限昇格を引き起こす可能性があります。攻撃者が api 呼び出しを発行してこの脆弱性を誘発できます。CVE-2025-31361

 - 5.15.14.19 より前の Dell ControlVault3 および 6.2.36.47より前の Dell ControlVault3 Plus の ControlVault WBDI ドライバー機能に、ハードコードされたパスワードの脆弱性が存在します。特別に細工された ControlVault API 呼び出しにより、権限操作の実行が引き起こされる可能性があります。攻撃者が api 呼び出しを発行してこの脆弱性を誘発できます。CVE-2025-31649

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

ControlVault3 ドライバーバージョン 5.15.14.19 / 6.2.36.47 以降にアップグレードしてください。

参考資料

https://www.dell.com/support/kbdoc/en-us/000326061/dsa-2025-228

プラグインの詳細

深刻度: High

ID: 275888

ファイル名: dell_controlvault3_driver_DSA-2025-228.nasl

バージョン: 1.1

タイプ: local

エージェント: windows

ファミリー: Misc.

公開日: 2025/11/20

更新日: 2025/11/20

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-36553

CVSS v3

リスクファクター: High

基本値: 7.3

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVSS スコアのソース: CVE-2025-36463

脆弱性情報

CPE: x-cpe:/a:dell:controlvault3_driver

必要な KB アイテム: installed_sw/ControlVault3 Driver, BIOS/Model

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/9/4

脆弱性公開日: 2025/11/17

参照情報

CVE: CVE-2025-31361, CVE-2025-31649, CVE-2025-32089, CVE-2025-36460, CVE-2025-36462, CVE-2025-36463, CVE-2025-36553

IAVA: 2025-A-0868