首頁 > 安全研究 > 安全通報 > 安全通告

Dell SupportAssist 客戶端多個漏洞安全通告

發布時間 2019-05-23

漏洞編號和級別


CVE編號:CVE-2019-3718,危險級別:高危,CVSS分值:廠商自評:7.6,官方:8.8

CVE編號:CVE-2019-3719,危險級別:高危,CVSS分值:廠商自評:7.1,官方:8.0


影響版本


受影響的版本

3.2.0.90 之前的 Dell SupportAssist 客戶端版本


漏洞概述


Dell SupportAssist 客戶端是美國戴爾(Dell)公司的一款客戶端應用程序。該程序提供自動化、主動和預測性技術進行故障排除等。Dell SupportAssist 客戶端存在以下漏洞:
CVE-2019-3718
Dell SupportAssist 客戶端版本包含不當原始驗證漏洞。未經驗證的遠程攻擊者可能會利用此漏洞來嘗試對受影響系統的用戶發起 CSRF 攻擊。
CVE-2019-3719

Dell SupportAssist 客戶端版本中包含遠程代碼執行漏洞。與易受攻擊的系統共享網絡訪問層的未經驗證的攻擊者可通過誘使受害用戶通過 SupportAssist 客戶端從攻擊者托管的站點下載和執行任意可執行文件,從而入侵易受攻擊的系統。


漏洞驗證

CVE-2019-3719 POC:https://github.com/D4stiny/Dell-Support-Assist-RCE-PoC。


修復建議


目前廠商已發布新版本以修復漏洞,請用戶升級至Dell SupportAssist 客戶端版本 3.2.0.90 和更高版本:https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exe。


參考鏈接


https://www.dell.com/support/article/cn/zh/cndhs1/sln316857/dsa-2019-051-dell-supportassist-client-multiple-vulnerabilities?lang=en

上一篇 下一篇