CRITICAL✓ PATCH🇬🇧 English

CVE-2025-46364

Dell CloudLink — CLI Escape umożliwia przejęcie kontroli nad systemem

CVSS 9.1v3.1pub. 2025-11-05upd. 2025-11-07

Dell CloudLink w wersjach wcześniejszych niż 8.1.1 zawiera podatność typu CLI Escape, która pozwala uprzywilejowanemu użytkownikowi znającemu hasło na przejęcie pełnej kontroli nad systemem. Podatność otrzymała ocenę CVSS 9.1 (CRITICAL) ze względu na wysoki wpływ na poufność, integralność i dostępność oraz zakres oddziaływania wykraczający poza komponent bazowy.

Pokaż oryginał (EN)

Dell CloudLink, versions prior to 8.1.1, contain a vulnerability where a privileged user with known password can run CLI Escape Vulnerability to gain control of system.

🤖 Analiza AI
Jak działa

Podatność (CWE-269 — niewłaściwe zarządzanie uprawnieniami) polega na tym, że użytkownik posiadający dostęp do interfejsu CLI oraz znający hasło może wykonać tzw. CLI Escape — czyli wydostać się z ograniczonego środowiska powłoki i uzyskać dostęp do szerszego systemu operacyjnego. W ten sposób atakujący obchodzi restrykcje nałożone na konto uprzywilejowane i przejmuje kontrolę nad systemem w zakresie wykraczającym poza przewidziane uprawnienia.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem, co obejmuje dostęp do poufnych danych, możliwość modyfikacji konfiguracji oraz zakłócenia działania usług. Ze względu na zakres (Scope: Changed), skutki mogą dotyczyć nie tylko samego komponentu Dell CloudLink, ale również powiązanej infrastruktury.

Mitygacja

Należy zaktualizować Dell CloudLink do wersji 8.1.1 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta DSA-2025-374 pod adresem: https://www.dell.com/support/kbdoc/en-us/000384363/dsa-2025-374-security-update-for-dell-cloudlink-multiple-security-vulnerabilities

Kogo dotyczy

Dell CloudLink w wersjach wcześniejszych niż 8.1.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Dell Cloudlink

    APP
    Dell
    < 8.1.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-45378CRITICAL9.1PL ✓ten sam produkt

Dell CloudLink: command injection przez ucieczkę z restricted shell

CVE-2022-34380CRITICAL9.3ten sam produkt

Dell CloudLink 7.1.3 and all earlier versions contain an Authentication Bypass Using an Alternate Path or Chan...

CVE-2022-34379CRITICAL9.4ten sam produkt

Dell EMC CloudLink 7.1.2 and all prior versions contain an Authentication Bypass Vulnerability. A remote attac...

CVE-2021-36312CRITICAL9.1ten sam produkt

Dell EMC CloudLink 7.1 and all prior versions contain a Hard-coded Password Vulnerability. A remote high privi...

CVE-2021-36313CRITICAL9.1ten sam produkt

Dell EMC CloudLink 7.1 and all prior versions contain an OS command injection Vulnerability. A remote high pri...

CVE-2025-46364 — Dell CloudLink — CLI Escape umożliwia przejęcie kontroli nad systemem — CRITICAL 9.1 | CVEbaza.pl