据Cyber Security News消息,戴尔(Dell)电脑的系统更新包 (DUP) 框架被发现一个严重安全漏洞,可能会使系统面临来自攻击者的权限提升和拒绝服务攻击。
该漏洞被跟踪为 CVE-2025-22395,CVSS评分8.2,影响 22.01.02 之前的 DUP 框架版本,允许具有低权限的本地攻击者利用该框架在服务器上执行任意远程脚本,从而导致未经授权的系统访问、服务中断以及敏感数据的潜在泄露。
戴尔已承认该问题,但尚未披露有关利用过程的具体技术细节。安全专家强调,此漏洞可能会对依赖戴尔 BIOS、固件和驱动程序更新更新机制的企业组织设备产生重大影响。
戴尔已发布 DUP 框架的更新版本 (22.01.02)来解决此问题。强烈建议用户更新到此版本或更高版本,以降低与 CVE-2025-22395 漏洞相关的风险。
对于仍在运行受影响版本的系统,戴尔建议避免在 Microsoft Windows 环境中使用“Extract”选项。
临时解决方法
- 暂时禁用自动更新,直到系统得到修补。
- 增强网络分段以限制攻击媒介。
- 监控系统中可能存在可能表明漏洞利用企图的可疑活动。
Dell Update Package Framework 在戴尔生态系统中广泛使用,以简化 BIOS、固件和设备驱动程序的更新。因此,如果不进行修补,该漏洞可能会影响广泛的 Dell 系统。
使用戴尔系统的企业组织应从 官方支持页面下载最新的 DUP 框架,以立即优先修补其环境。此外,还建议安全团队实施强大的监控工具,并遵循戴尔关于安全处理更新包的指导。
戴尔已将报告此问题归功于 Gee-metrics,并继续与其客户密切合作以确保系统安全。
随着网络威胁的发展,及时采取行动对于缓解 CVE-2025-22395 等漏洞至关重要。组织必须通过维护最新的软件和遵守推荐的安全实践来保持警惕。
