戴尔更新包框架漏洞可让攻击者提升权限

戴尔更新包 (DUP) 框架中被发现存在一个严重的安全漏洞，可能导致系统遭受权限提升和拒绝服务攻击。

该漏洞编号为CVE-2025-22395，影响 22.01.02 之前的 DUP 框架版本，CVSS 评分为 8.2，归类为“高严重性”。

漏洞详细信息

该漏洞允许具有较低权限的本地攻击者利用该框架，从而在服务器上执行任意远程脚本。

这可能导致未经授权的系统访问、服务中断以及敏感数据的潜在泄露。

该漏洞源于更新过程中对权限的不当处理，使得攻击者能够提升其权限。

戴尔已承认该问题，但尚未透露有关利用过程的具体技术细节。

然而，安全专家强调，此漏洞可能会对依赖戴尔的 BIOS、固件和驱动程序更新机制的组织产生重大影响。

Dell 已发布 DUP Framework 的更新版本 (22.01.02) 来解决此问题。强烈建议用户更新到此版本或更高版本，以缓解与 CVE-2025-22395 相关的风险。

对于仍在运行受影响版本的系统，戴尔建议避免在 Microsoft Windows 环境中使用“提取”选项。相反，用户应使用命令提示符来提取更新包。

要确定 DUP 的文件版本，用户可以在文件资源管理器中右键单击包文件，导航到“属性”，然后检查“详细信息”选项卡。

临时解决方法

• 暂时禁用自动更新，直到系统修补完毕。

• 增强网络分段以限制攻击媒介。

• 监控系统中可能表明存在攻击企图的可疑活动。

戴尔更新包框架在戴尔生态系统中被广泛使用，用于简化 BIOS、固件和设备驱动程序的更新。因此，如果不及时修补，该漏洞可能会影响广泛的戴尔系统。

使用戴尔系统的组织应立即优先修补其环境，方法是从戴尔官方支持页面下载最新的 DUP 框架。

还鼓励安全团队实施强大的监控工具并遵循戴尔关于安全处理更新包的指导。

戴尔对 Gee-metrics 报告此问题表示感谢，并将继续与客户密切合作，以确保系统安全。

随着网络威胁的不断演变，及时采取行动对于缓解 CVE-2025-22395 等漏洞至关重要。组织必须保持警惕，保持软件更新并遵守建议的安全做法。

来源：https://cybersecuritynews.com/dell-update-vulnerability/