Dell ControlVault3 ControlVault WBDI Driver hard-coded password vulnerability 漏洞信息(CVE-2025-31649)

一、漏洞 CVE-2025-31649 基础信息

漏洞信息

                                        # 戴尔ControlVault WBDI驱动硬编码密码漏洞

## 概述

Dell ControlVault3（低于 5.15.14.19 版本）和 ControlVault3 Plus（低于 6.2.36.47 版本）中存在一个**硬编码密码漏洞**，存在于 WBDI 驱动功能中。

## 影响版本

- Dell ControlVault3 < 5.15.14.19  
- Dell ControlVault3 Plus < 6.2.36.47

## 细节

该漏洞源于 ControlVault API 中存在硬编码的密码凭证。攻击者可通过构造特定的 ControlVault API 调用，**以高权限执行操作**。

## 影响

攻击者可利用此漏洞通过恶意 API 调用，**执行特权操作**，从而可能导致系统权限被非法获取或系统配置被篡改。

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Dell ControlVault3 ControlVault WBDI Driver hard-coded password vulnerability

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A hard-coded password vulnerability exists in the ControlVault WBDI Driver functionality of Dell ControlVault3 prior to 5.15.14.19 and Dell ControlVault3 Plus prior to 6.2.36.47. A specially crafted ControlVault API call can lead to execute priviledged operation. An attacker can issue an api call to trigger this vulnerability.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

对未经初始化资源的使用

来源：美国国家漏洞数据库 NVD

漏洞标题

Dell ControlVault3和Dell ControlVault3 Plus 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Dell ControlVault3和Dell ControlVault3 Plus都是美国戴尔（Dell）公司的一款基于硬件的安全解决方案。 Dell ControlVault3 5.15.14.19之前版本和Dell ControlVault3 Plus 6.2.36.47之前版本存在安全漏洞，该漏洞源于ControlVault WBDI Driver功能存在硬编码密码漏洞，可能导致执行特权操作。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-31649 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-31649 的情报信息

标题： DSA-2025-228: Security Update for Dell ControlVault3 for Multiple Broadcom Driver and Firmware Vulnerabilities | Dell US -- 🔗来源链接

标签：

神龙速读：

                                        该链接的内容为空，无法处理。

DSA-2025-228: Security Update for Dell ControlVault3 for Multiple Broadcom Driver and Firmware Vulnerabilities | Dell US

标题： TALOS-2025-2173 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence -- 🔗来源链接

标签：

神龙速读：

                                        以下是简洁的Markdown格式总结此漏洞报告的关键信息：

```markdown
# Talos Vulnerability Report - TALOS-2025-2173

## Summary
- **CVE Number**: CVE-2025-31649
- **Vulnerability**: Hard-coded password in Dell ControlVault3 WBDI Driver
- **Impact**: A crafted ControlVault API call can execute privileged operations

## Affected Versions
- **Broadcom BCM5820X**
- **Dell ControlVault3 5.14.3.0**

## Severity
- **CVSS v3 Score**: 8.7
  - **Vector**: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
- **CWE**: CWE-798 - Use of Hard-coded Credentials

## Details
- **Vulnerable DLLs**: BrcmEngineAdapter.dll, BrcmSensorAdapter.dll, BrcmStorageAdapter.dll
- **Vulnerable Function**: WBFUSH_CommitEnrollment in BrcmEngineAdapter.dll
- **Bypass Mechanism**: Hardcoded passphrase "BroadcomWBF"

## Timeline
- **2025-04-22**: Vendor Disclosure
- **2025-06-13**: Vendor Patch Release
- **2025-11-17**: Public Release

## Credit
- **Discovered by**: Philippe Laulheret of Cisco Talos
```

TALOS-2025-2173 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence

https://nvd.nist.gov/vuln/detail/CVE-2025-31649

四、漏洞 CVE-2025-31649 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-31649 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-31649 的公开POC

三、漏洞 CVE-2025-31649 的情报信息

四、漏洞 CVE-2025-31649 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-31649 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-31649 的公开POC

三、漏洞 CVE-2025-31649 的情报信息

四、漏洞 CVE-2025-31649 的评论

发表评论

一、漏洞 CVE-2025-31649 基础信息