CVE-2025-46425CVE-2025-46425是Dell Storage Center和Dell Storage Manager中存在的一个XML外部实体引用(XXE)漏洞。该漏洞影响版本20.1.20,CVSS评分6.5,属于中等严重程度。漏洞源于应用程序在处理XML输入时未正确限制外部实体引用,允许攻击者通过构造恶意的XML payload来读取服务器上的敏感文件或执行未授权操作。攻击者需要拥有低权限账户并具备远程访问能力即可利用此漏洞,成功 exploitation 可导致机密性受损,攻击者可能获取系统配置文件、密码凭据或其他敏感信息。此漏洞由[email protected]发现并报告, Dell已发布安全更新以修复此问题。
该漏洞是典型的XML外部实体注入(XXE)漏洞,存在于Dell Storage Manager的XML解析模块中。当应用程序处理用户提交的XML数据时,如果XML解析器配置不当且未禁用外部实体引用,攻击者可以通过在XML payload中定义外部实体来引用本地文件系统资源或其他网络资源。攻击者通常利用file://协议读取/etc/passwd、配置文件、证书密钥等敏感文件。在某些情况下,攻击者还可利用SSRF(服务器端请求伪造)技术通过外部实体引用向内部系统发起请求或探测内网服务。Dell Storage Manager 20.1.20版本中的XML处理组件未实施充分的输入验证和安全配置,攻击者只需发送精心构造的XML请求即可触发漏洞,无需高级权限或用户交互。