首页 > 安全研究 > 安全通报 > 安全通告

Dell SupportAssist 客户端多个漏洞安全通告

发布时间 2019-05-23

漏洞编号和级别


CVE编号:CVE-2019-3718,危险级别:高危,CVSS分值:厂商自评:7.6,官方:8.8

CVE编号:CVE-2019-3719,危险级别:高危,CVSS分值:厂商自评:7.1,官方:8.0


影响版本


受影响的版本

3.2.0.90 之前的 Dell SupportAssist 客户端版本


漏洞概述


Dell SupportAssist 客户端是美国戴尔(Dell)公司的一款客户端应用程序。该程序提供自动化、主动和预测性技术进行故障排除等。Dell SupportAssist 客户端存在以下漏洞:
CVE-2019-3718
Dell SupportAssist 客户端版本包含不当原始验证漏洞。未经验证的远程攻击者可能会利用此漏洞来尝试对受影响系统的用户发起 CSRF 攻击。
CVE-2019-3719

Dell SupportAssist 客户端版本中包含远程代码执行漏洞。与易受攻击的系统共享网络访问层的未经验证的攻击者可通过诱使受害用户通过 SupportAssist 客户端从攻击者托管的站点下载和执行任意可执行文件,从而入侵易受攻击的系统。


漏洞验证

CVE-2019-3719 POC:https://github.com/D4stiny/Dell-Support-Assist-RCE-PoC。


修复建议


目前厂商已发布新版本以修复漏洞,请用户升级至Dell SupportAssist 客户端版本 3.2.0.90 和更高版本:https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exe。


参考链接


https://www.dell.com/support/article/cn/zh/cndhs1/sln316857/dsa-2019-051-dell-supportassist-client-multiple-vulnerabilities?lang=en

上一篇 下一篇