Dell ControlVault3 ControlVault WBDI Driver Broadcom Storage Adapter privilege escalation vulnerability 漏洞信息(CVE-2025-31361)

一、漏洞 CVE-2025-31361 基础信息

漏洞信息

                                        # 戴尔 ControlVault WBDI 驱动权限提升漏洞

## 概述

在 Dell ControlVault3 5.14.3.0 及之前版本中，ControlVault WBDI 驱动的 `WBIO_USH_ADD_RECORD` 功能存在提权漏洞。

## 影响版本

- Dell ControlVault3 5.14.3.0 及之前版本

## 细节

通过构造特定的 `WinBioControlUnit` 调用，攻击者可利用该漏洞实现权限提升。

## 影响

攻击者可通过调用相关 API 触发该漏洞，从而实现本地权限提升。

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Dell ControlVault3 ControlVault WBDI Driver Broadcom Storage Adapter privilege escalation vulnerability

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A privilege escalation vulnerability exists in the ControlVault WBDI Driver WBIO_USH_ADD_RECORD functionality of Dell ControlVault3 prior to 5.15.14.19 and Dell ControlVault3 Plus prior to 6.2.36.47. A specially crafted WinBioControlUnit call can lead to privilege escalation. An attacker can issue an api call to trigger this vulnerability.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

对未经初始化资源的使用

来源：美国国家漏洞数据库 NVD

漏洞标题

Dell ControlVault3和Dell ControlVault3 Plus 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Dell ControlVault3和Dell ControlVault3 Plus都是美国戴尔（Dell）公司的一款基于硬件的安全解决方案。 Dell ControlVault3 5.15.14.19之前版本和Dell ControlVault3 Plus 6.2.36.47之前版本存在安全漏洞，该漏洞源于ControlVault WBDI Driver WBIO_USH_ADD_RECORD功能存在权限提升漏洞，可能导致权限提升。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-31361 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-31361 的情报信息

标题： DSA-2025-228: Security Update for Dell ControlVault3 for Multiple Broadcom Driver and Firmware Vulnerabilities | Dell US -- 🔗来源链接

标签：

神龙速读：

                                        该链接的内容为空，无法处理。

DSA-2025-228: Security Update for Dell ControlVault3 for Multiple Broadcom Driver and Firmware Vulnerabilities | Dell US

标题： TALOS-2025-2174 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence -- 🔗来源链接

标签：

神龙速读：

                                        # 关键漏洞信息

- **CVE编号**: CVE-2025-31361
- **漏洞类型**: 权限提升漏洞
- **影响产品**: Dell ControlVault3 ControlVault WBDI Driver Broadcom Storage Adapter
- **影响版本**: 
  - Broadcom BCM5820X
  - Dell ControlVault3 5.14.3.0
- **CVSSv3 分数**: 8.7 - CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
- **CWE**: CWE-908 - 使用未初始化的资源

## 漏洞详情

- Dell ControlVault WBDI 驱动程序 `WBIO_USH_ADD_RECORD` 功能存在一个权限提升漏洞。
- 通过精心构造的 `WinBioControlUnit` 调用，攻击者可以触发此漏洞并进行权限提升。
- 漏洞源于 `StorageContext->Challenge` 对象默认未初始化，攻击者可利用这一点绕过安全检查。

## 时间线

- 2025-04-22: 厂商披露漏洞
- 2025-06-13: 厂商发布补丁
- 2025-11-17: 公开发布

## 发现者

- Philippe Laulheret of Cisco Talos

TALOS-2025-2174 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence

https://nvd.nist.gov/vuln/detail/CVE-2025-31361

四、漏洞 CVE-2025-31361 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-31361 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-31361 的公开POC

三、漏洞 CVE-2025-31361 的情报信息

四、漏洞 CVE-2025-31361 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-31361 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-31361 的公开POC

三、漏洞 CVE-2025-31361 的情报信息

四、漏洞 CVE-2025-31361 的评论

发表评论

一、漏洞 CVE-2025-31361 基础信息