Dell ControlVault3/ControlVault3 Plus cv_close Local Privilege Escalation
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.1 | $0-$5k | 0.00 |
Zusammenfassung
In Dell ControlVault3 and ControlVault3 Plus wurde eine kritische Schwachstelle entdeckt. Dabei betrifft es die Funktion cv_close. Mittels dem Manipulieren mit unbekannten Daten kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden.
Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2025-25215 gehandelt. Der Angriff muss lokal durchgeführt werden. Es ist soweit kein Exploit verfügbar.
Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Eine kritische Schwachstelle wurde in Dell ControlVault3 sowie ControlVault3 Plus - die betroffene Version ist nicht genau spezifiziert - entdeckt. Hierbei geht es um die Funktion cv_close. Dank der Manipulation mit einer unbekannten Eingabe kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-763. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
An arbitrary free vulnerability exists in the cv_close functionality of
Dell ControlVault3 prior to 5.15.10.14 and Dell ControlVault3 Plus prior to 6.2.26.36. A specially crafted ControlVault API call
can lead to an arbitrary free. An attacker can forge a fake session to
trigger this vulnerability.Die Schwachstelle wurde durch Philippe Laulheret als dsa-2025-053 veröffentlicht. Auf dell.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 06.02.2025 als CVE-2025-25215 statt. Das Ausnutzen gilt als leicht. Der Angriff muss lokal passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen (Preisberechnung vom 06.08.2025).
Ein Upgrade vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von EUVD (EUVD-2025-18306) und CERT Bund (WID-SEC-2025-1726) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Betroffen
- Dell Computer
Produkt
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.dell.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.3VulDB Meta Temp Score: 8.1
VulDB Base Score: 7.8
VulDB Temp Score: 7.5
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 8.8
CNA Vector (talos): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Local Privilege EscalationCWE: CWE-763 / CWE-404
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Timeline
06.02.2025 CVE zugewiesen14.06.2025 Advisory veröffentlicht
14.06.2025 VulDB Eintrag erstellt
06.08.2025 VulDB Eintrag letzte Aktualisierung
Quellen
Hersteller: dell.comAdvisory: dsa-2025-053
Person: Philippe Laulheret
Status: Bestätigt
CVE: CVE-2025-25215 (🔒)
GCVE (CVE): GCVE-0-2025-25215
GCVE (VulDB): GCVE-100-312554
EUVD: 🔒
CERT Bund: WID-SEC-2025-1726 - Dell Computer: Mehrere Schwachstellen
Eintrag
Erstellt: 14.06.2025 13:21Aktualisierung: 06.08.2025 18:19
Anpassungen: 14.06.2025 13:21 (63), 14.06.2025 13:49 (1), 06.08.2025 18:19 (7)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.